Hello,
On 03/26/2015 19:49, Veres Sándor wrote:
Nem a legszebb, de egy lehetséges megoldás, hogy tűzfalon iptables-el csak MAC cím alapján engedélyezed a forgalmat. Ez elég munkás, mert minden egyes szabályban használnod kell a MAC címet is (ahol az szükséges) minden gépre külön, és nem használhatsz "alhálózatos címzést". Ez jelentősen megnövelheti az iptables szabályok számát.
Azon tul, hogy ez valoban nem a legszebb, szerintem elvi hibas is. A het retegu OSI modellben gondolkodva egy masodik reteg-beli problemat akarsz megoldani a harmadik retegben. Mit jelent ez? Azt, hogy egy tuzfalon te ugyan szurted akar a MAC cimet is, de nyilvan, ha a kerdeses rosszindulatu felhasznalo nem megy at ezen a tuzfalon, akkor a te tiltasod semmiben nem fogja befolyasolni. A tuzfal elotti halozatban tovabbra is azt csinal amit akar. Elerhet eroforrasokat bent (desktopokat, szervereket, amelyekrol mar tovabb tud jutni azokat ugrodeszkanak hasznalva), illetve ami rosszabb, fennakadast okozhat mas legitim felhasznalok szamara.
Vagy fordítva, használhatod tiltásra is, pl amint azt Péter is javasolta telepíted az arpwatch-ot és ha megjelenik egy új MAC a hálózatban, akkor azt az iptables szabályok elején egy szabállyal tiltod, így lesz IP
A masodik javaslat szerintem meg rosszabb, mint az elso. Ha ugyanis ezt automatizalod, akkor az elso mokas kedvu hallgato beallitja a sajat eszkozenek az alapertelmezett atjaro MAC cimet. A scripted pedig azonnal ki is tiltja az atjarot a MAC cim alapjan a halozatrol, ezzel a teljes iskolai infrastrukturaban fennakadast okozva. De mivel beallithat barmilyen MAC cimet, mokas kedvu hallgato kitilthat a halozatbol barmilyen szervert, munkaallomast vagy mas klienst.
címe, de az iptablesz tiltás miatt nem fog tudni kimenni a netre, egy idő után a user meg fogja unni még a próbálkozást is. De ha túl sok lesz a próbálkozás, akkor viszont téged kergetnek az őrületbe.
A harmadik, ami miatt vegkepp nem javaslom ezt a megoldast: felhaznalo beallitja a tabletet/telefont, probalkozik, zavart kelt a halozatban, neki nem mukodik, nem erdekli, zsebre vagja (tovabbra is bekonfiguralva). Sok sikert az eszkoz behatarolasahoz, marpedig ameddig a kornyeken van, zavart fog kelteni.
udv adam _______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
