> On Thu, 29 May 2003 16:24:43 +0300 (EEST) > <[EMAIL PROTECTED]> wrote: > >> a ceea ce ti s-a spus pana acum nu te multumeste, poti face masq pe >> toata clasa ta si prin arp specifici ip-urile care vrei sa iasa pe >> internet (man arp). >> > > dar si metoda... > iptables -P FORWARD DROP > for ip in `cat /etc/rc.d/ipuri' ; do > iptables -A FORWARD -s $ip -j ACCEPT > iptables -A FORWARD -d $ip -j ACCEPT > done > > ...e eficienta dupa ce in prealabil ai facut SNAT pe tot subnetul ;);) > > Cei care nu sunt bagati manual in tabela arp sunt invatati > dinamic si nu blocati. Asadar daca am facut SNAT pe tot subnetul iar in > /etc/ethers sunt doar 2 ip din subnet, ceilalte ip-uri nu sunt blocate > de maparea statica care o fac cu arp -f. > Arp ma ajuta in aceasta situatie ca cei 2 care au drept la net sa nu > isi schimbe mac nu ca sa impiedic pe altii sa iasa pe net (decat daca nu > bag in /etc/ethers numai mapari fake pentru tot subnetul si las numai > pentru 2 ip-uri MAC corect--but that would be stupid).
Daca spui tu... Acum depinde si de paranoia fiecarei persoane. Pai atunci poate sa faca altceva. Pune un proxy cu autentificare. Alta varianta: Cumpara un switch mai "bunicel" si face 2 vlan-uri (1 vlan cu ip-urile ce pot sa iasa pe net (ex: 192.168.1.x) si alt vlan cu ip-urile ce nu au voie sa iasa pe net (ex: 192.168.2.x), iar serverul il conecteaza cu un picior intr-un vlan, cu alt picior in al doilea vlan , iar cu piciorul din mijloc spre internet ... si gata (sau cumpara un router). Dar ... se merita? :-) > > oricum, mac-urile si ip-urile se pot schimba asa ca solutia viabila e cu > autentificare. Cred ca se poate face Samba sa execute o comanda iptables > dupa ce se autentifica un user. A incercat cineva ? Se poate si > fara suid-at iptables sau rulat samba ca root? Exista ceva mai simplu > decat Samba dpdv al unui client windows?
