Hola: Tengo una LAN con unas cuantas maquinas (S.O. variados), el GW es debian.
Necesito restringir la salida de paquetes, de tal manera que solo maquinas autorizadas puedan salir. Creo que eso se logra mediante MAC. En la cadena FORWARD pongo todas las direcciones MAC de mis maquinas, si son, las mando a otra cadena mia (firewall) para que se filtren por ip, como se esta haciendo normalmente (mi firewall actual). Al final de FORWARD "tiro" los paquetes que no coinciden con mis maquinas autorizadas Ejemplo: iptables -I FORWARD -i eth0 -m mac --mac-source XX:XX:XX:XX:XX:XX -j mifirewall iptables -A FORWARD -j DROP Es correcto esto? Necesito hacer lo mismo en INPUT? Que tanto se degrada el rendimiento conforme aumenta el numero de maquinas? Alguien tiene idea del "trougput"? Que tanto mejora si meto iptables al kernel, en lugar de tenerlo como modulo? (Es una ganancia subsatncial o ni vale la pena recompilar el kernel) Por el momento solo hay unas 10 maquinas en la red, pero puedo llegar a necesitarlo para otras redes mas grandes (unas 200 o 220 maquinas) y que tengan que pasar por 220 cadenas antes de siquiera llegar al firewall creo que podria afectar el desempe?o de la red. O existe otra forma mas rapida y eficiente para controlar por medio de MAC? Si son muchas maquinas (o mucho trafico), que tanto se degrada la calidad de servicio? Oviamente esto depende de la cantidad de trafico y de las capacidades del GW, pero alguien tiene una idea de las proporciones de degradacion de servicio, cantidad de trafico y capacidades del GW? Gracias. __________________________________ Do you Yahoo!? Free Pop-Up Blocker - Get it now http://companion.yahoo.com/
