Ovidiu wrote: > Care metoda din cele doua e mai buna si mai ales de ce pt filtare > IP+MAC intr-o retea unde doar unii trebuie sa iasa pe net: > > 1) iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.1 -m mac > --mac-source X:XX:XX:XX:XX:XX -j ACCEPT 2) iptables -A FORWARD -i > eth1 -s 192.168.0.1 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT > > In ambele variante am pus policy DROP pentru lantul respectiv.
Tehnic vorbind ambele metode sunt OK iar ceilalti colistasi au dat detalii suficiente. Din pacate nu vei fi sigur ca restrictia ta va sta in picioare pentru simplul motiv ca userul tau isi va putea schimba variabilele $IP si $MAC dupa bunul plac, cu unele care "se stie" ca sunt OK. Pentru probleme de genul "nu iese pe net decat cine 'trebuie', restul doar stau in retea si pot sa dea jos de la noi si sa ne jucam impreuna" poti folosi cu succes solutii precum PPTP, PPPoE si/sau OpenVPN. De asemenea, se poate face autentificare intr-o pagina web, trecand combinatia curenta IP+MAC cu regula de accept pe un chain care are default DROP. Pagina face refresh la fiecare X minute si tina "sesiunea" UP (sau actualizeaza un camp intr-o tabela SQL), samd. Cat timp sunt mai putin de X minute de la ultima actualizare nu faci nimic. Daca au trecut cele X minute dai jos regula. Mai mult, poti crea useri normali pe sistem cu un shell "add_rule.sh" care sa adauge regula de ACCEPT dupa care sa stea IDLE. Daca inchide conexiunea SSH, verifici din minut in minut din cron sau similar si-i dai jos regula. Ca sa se autentifice va face SSH pe masina respectiva. Chiar si asa, Gigel si-ar putea pune proxy sau un SNAT+DNAT pe Linux sau orice alta dracovenie similara si te-ar putea fenta, pentru ca va "revinde" si/sau redistribui serviciul. Ca atare, arunca peste asta un traffic shaping pentru ca lu' Gigel nu o sa-i convina sa "vanda din banda lui". Stiu, probabil suna complex, dar daca vrei ceva cat mai sigur... ori faci asa, ori pui switch-uri cu management si _clar_ ai rezolvat. :) -- GRN None are so old as those who have outlived enthusiasm. - H. D. Thoreau --- Detalii despre listele noastre de mail: http://www.lug.ro/
