Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 1125 views
  • Users 0 members are here
Options
Suggested

[9.060][MYTH] MAC Filtering is not working?

Billybob
I thought the MAC implementation was meant to check the MAC address along with the IP address before the traffic was allowed. The feature request Network Security: MAC-Based Packet Filter Rules is pretty specific.

As you can see from the screenshots, I have changed my MAC but the traffic is still flowing freely.

Screenshots:
1. Define a host with with MAC 02:aa:bb:cc[:D]d:ee and IP 192.168.0.179
2. Create a rule to allow traffic from that host.
3. Traffic from different MAC with same IP is allowed.

Regards
Bill
  • 0
    Never mind, it works correctly. You have to redefine the MAC address in the MAC address definition section and not in the section that I was defining it in. That will give you the ability to apply that definition in packet filter rules as shown in screenshot 2 below.

    Not the best implementation... I see the dilemma... the packet filter rules need a section for forcing MAC filtering and that is not populated unless MAC address is defined separately. I guess to save an admin from himself.

    You would assume that once the MAC address is entered in the MAC section of a host definition, the packet filter rule would be applied automatically thus making it easy for all the static definitions in the dhcp section to have their packet filter rules automatically converted to MAC enforced rules also.

    Maybe other people can chime in once they try the feature.

    Regards
    Bill
  • 0
    This is working as intended.

    MAC address lists give you the flexibility of allowing you to add a single mac address or many, even for those endpoints that aren't defined as host objects on the Astaro.
  • 0 in reply to Scott_Klassen
    I think the way the feature is used it will cause a lot of misunderstanding.

    When I use a MAC list in advanced Section in a packetfilter rule, 
    is this list true for source or destination.

    Use Case:  I have a clients with mac1, mac2, mac3.
    I have a mail server with mac-mailserver.
    I have a file serve with mac-fileserver.

    How do I setup a firewall rule like this with macs?

    Do I have to setup two lists, one with Clients and Mailserver, and one with Clients and Fileserver? And then use it in an firewallrule?

    Sven
  • 0 in reply to Scott_Klassen
    This is working as intended.

    MAC address lists give you the flexibility of allowing you to add a single mac address or many, even for those endpoints that aren't defined as host objects on the Astaro.

    It is indeed working but the implementation is far from desirable. As I mentioned above in the static dhcp example, you supply the MAC address to get the same IP for a particular box. However if you want to implement a firewall rule, you will have to re-enter all the MAC addresses that you have already entered once for static dhcp leases. The MACs are even visible in the hosts definitions automatically created by the dhcp server. This is double work in my opinion.

    What is the point of dhcp section / MAC address in host definition if that is for cosmetic purposes only?

    I think once you supply the MAC address in host definition, then you should just need a toggle to apply MAC filtration in packet filter rules. The drop down list is just redundant and confusing. Like I mentioned earlier, maybe more people will chime in once they try the feature.

    Regards
    Bill

    Edit: That will also help with maygyver's confusion. Since the MAC is defined with the host, the traffic direction will depend on the firewall rule.