On Mon, Sep 19, 2005 at 03:20:33PM +0000, Rio Martin. wrote: > On Monday 19 September 2005 05:14, heist lx wrote: > > tolong dong buat mas-ams di sini kasih tau saya kalo > > pake server linux (RHEL) client xp, pake squid, biar > > client gak bisa ganti IP, tp ngaturnya dari linux bisa > > gak ??? > > tolong dong...soalnya banyak yang ganti2 IP....plz > > Pertama iptablesnya dibuat default DROP > lalu allow satu per satu pc yang dipakai. > > pakai --mac-source aa:bb:cc:dd:ee:ff dan -s 192.168.1.1 pada iptables > note: yang aa:bb dan 192.168 itu cuma contoh saja .. > ganti sesuai kebutuhan disana.
Minimal ada dua kelemahan besar yg saya lihat: - mac address juga bisa diganti (di OS-nya), walaupun mungkin tidak banyak diketahui org caranya seperti cara mengganti ip address, - kalo cuma beberapa puluh hosts mungkin masih mudah dimaintain (lebih dr 30 mungkin udah makin males), tapi kalo udah ratusan atau ribuan bisa puyeng sendiri. Bukan cuma masalah bisa atau tidak utk pertama kalinya aja, tapi maintenance itu berjalan, pasti banyak yg ganti2, dan makin banyak usernya biasanya makin complex pula masalah2nya. Saran saya, coba think outside the box dan jgn terlalu terpaku membatasi dr network (ip/mac) address aja. Sebagai salah satu contoh aja, tergantung infrastruktur yg udah/akan ada, mungkin solusi menggunakan username/password login bisa sedikit lebih baik (misalnya kalo udah ada centralized user database seperti LDAP yg juga dipake utk email, dan login lain2nya ke network), jadi ini discourage usernya utk sharing password. Ronny
pgpkummjreuql.pgp
Description: PGP signature