Ограничение доступа по MAC-адресам на втором уровне OSI

Откуда ты взял (где посмотрел) МАС адрес который надо резать?

корпоративная сеть. mac-адреса известны.

>корпоративная сеть. mac-адреса известны.

У клиентского VPN_овского (не eth) интерфейса тоже?

А отбросить и забыть на время о VPN соединении и сосредоточиться в частности на фильтрации по MAC на втором уровне OSI фантазия не позволяет?

Если надо доходчивее, я поясню: Есть пул клиентов, с определёнными Ethernet MAC-адресами. Нужно, все пакеты (в том числе PADO, бегающие только на втором уровне) принимать только от определённых MAC-адресов.

Спешу Вас успокоить и предостеречь, MAC адрес, указанный в этом пакете является адресом Ethernet-интерфейса

Давайте уже не будем пытаться найти изъян в мозге вопрошающего? Ситуация итак крайне неприятная - безлимитчики начинают заниматься провайдингом своих учётных записей.

>корпоративная сеть

что это за фирма такая, если нет денег на простейший свитч (например 2950)?

А если взглянуть на проблему с другой стороны?

Например, по MAC адресу раздавать IP (по dhcp) и имена, а потом жестко привязать доступ (с помощью того же iptables) к ip-шнику?

arptables

>что это за фирма такая, если нет денег на простейший свитч (например 2950)? 1) не фирма а госучреждение 2) оборудования больше, чем вы себе представляете, но выделять 29х для max 250 клиентов (причём они ни разом не "VIP" а "жест доброй воли") которых рулит одна машинка уровня Cel350, не считаю рациональным.

>Например, по MAC адресу раздавать IP (по dhcp) и имена, а потом >жестко привязать доступ (с помощью того же iptables) к ip-шнику? Слишком уж удаление гланд через задний проход, но приму к сведению как план "Бэ"

>arptables лес -> там :). P.S. rp-pppoe бегает ниже. Не нужно смотреть на название.

второй пункт также не подходит

1) rp-pppoe сам раздаёт адреса

2) привязку сделать не получится потому что пакеты ходят ниже.

в общем забудьте слово iptables )

Сильно не вникал в твою проблему но попробуй поищи тут может что поможет

http://iptables.org/documentation/HOWTO//netfilter-extensions-HOWTO.html

Старик, ты там в системе у себя разберись, iptables c примочками и arptables отсекают компы на MAC уровне только в путь, у меня это работает почему у тебя arptables не работает - не знаю, а может ты его даже и не юзал? Самое страшное это стереотипы.

Старик, разберись на каком уровне работает iptables, установи rp-pppoe, включи запрет доступа с воего MAC-адреса. Да, ICMP пакеты и высокоуровневые протоколы у тебя отвалятся, но сервер rp-pppoe работать будет только в путь!

К сожалению немного не то... да и стоять патчи от него.

Пока пришёл к выводу что нужна привязка radius и там уже на этапе авторизации отваливать неугодные конкретному логину маки

А так, порывшись в отлично комментированном коде сервера и найдя нужную фунцию установки сообщений скорвее всего придётся накатывать патч проверки из файла.

MAC адрес меняется на раз-два. В чём суть вашей защиты?

пусть хоть заменяются, но в пределах одного порта, а это максимум 3-5 чел. на "тупом" свиче.

port MAC Security ещё никто не отменял.

Тем более, что с клиентских свичей ловятся трапы новых/изменённых MAC-адресов.

P.S. можно без оффтопа? :)