On Thu, 29 May 2003 16:24:43 +0300 (EEST) <[EMAIL PROTECTED]> wrote: > a ceea ce ti s-a spus pana acum nu te multumeste, poti face masq pe > toata clasa ta si prin arp specifici ip-urile care vrei sa iasa pe > internet (man arp). >
dar si metoda... iptables -P FORWARD DROP for ip in `cat /etc/rc.d/ipuri' ; do iptables -A FORWARD -s $ip -j ACCEPT iptables -A FORWARD -d $ip -j ACCEPT done ...e eficienta dupa ce in prealabil ai facut SNAT pe tot subnetul ;);) Cei care nu sunt bagati manual in tabela arp sunt invatati dinamic si nu blocati. Asadar daca am facut SNAT pe tot subnetul iar in /etc/ethers sunt doar 2 ip din subnet, ceilalte ip-uri nu sunt blocate de maparea statica care o fac cu arp -f. Arp ma ajuta in aceasta situatie ca cei 2 care au drept la net sa nu isi schimbe mac nu ca sa impiedic pe altii sa iasa pe net (decat daca nu bag in /etc/ethers numai mapari fake pentru tot subnetul si las numai pentru 2 ip-uri MAC corect--but that would be stupid). oricum, mac-urile si ip-urile se pot schimba asa ca solutia viabila e cu autentificare. Cred ca se poate face Samba sa execute o comanda iptables dupa ce se autentifica un user. A incercat cineva ? Se poate si fara suid-at iptables sau rulat samba ca root? Exista ceva mai simplu decat Samba dpdv al unui client windows?
