использовать MAC адрес сетевух

to last anonymous: а если они еще и MAC-адреса заменять будут ? :-)

Не давать пользователям подобных привелегий (или у Вас win 98) на всех машинах? Тогда вешаться...

или написать по(например с вэбом), что бы для захода в инет нужно зарегестриться.

Или поставить VPN

Поставить squid и сделать доступ по authentification/ и не морочится с IP и MAC (если офис большой то можно точьно двинуться следя за сменами IP И карточек)

А если еще и DHCP используется..... то точно :-))

Залезть на свитч и привязать все к МАКу, то что нужно и не парится, если же конечно офис большой, а иначе только аутентификация....

Я тут недавно нашел систему называется Stargazer, судя по описанию она может решить проблему подмены IP и MAC адресов, сползай почитай stg.pochtamt.ru.

а какой свитч лучше выбрать (цена/качесво), на котором можно реализовать жесткую привязку мак адреса к определенному порту?

А КАК ТЫ ТРАФИК СЧИТАЕШЬ?

Если IPTABLES, то -m mac --mac-source xx:xx:xx:xx:xx:xx
вот тебе и привязка к МАК-адресу.

НЕ очень сложно написать прогу, которая хранила бы:
1) имя переменной как путь к dhcpd.lease
2) соответствие (т.е. таблицу) пользователь -- есть доступ|нет доступа|MAC-address
3) Выдираешь из dhcpd.lease ip-address по MAC. (простой парсер).
Далее генеришь команды iptables с контролем

------------[интернет (#eth0)]---->>> [локальный интерфес(#eth1)]
По:
a) C eth1 -> на eth0 контроль по --mac-source
б) eth0 -> eth1 контроль только по IP (т.к. MAC будет не известен, т.к. это интернет, где MAC не передаются)

У тебя в итоге должно быть:

-- таблица соответствия IP и MAC тех компов, которые имеют право ползать по инету

-- и генерируешь 3 правила: включение маскарада (посмотри ранее, я где-то уже писал подробно, где и как это можно сделать)
второе правило: контроль eth0 -> eth1, 3 правило: eth1 -> eth0.

Трафик считается по
iptables -L -v в неточных единицах
iptables -L -v -x с точностью до байта.

И еще, не забуть по крону cron.hourly (если RH) убивать (iptables -D .... ) правила для пользователей, которые исчерпали свою квоту.
Скриптик простейший. :)))


Если нужно готовое, пиши: Utandr@newmail.ru

http://www.linux.org.ru/view-message.jsp?msgid=201583&scroll=group&ba...

вот тут я писал про то, как к МАК-привязать

Ok! Спасибо, и еще - если я правильно понял, от подмены мак и ип адреса можно избавиться двумя способами - либо на свитче выставлять жескую привязку мак адреса к порту либо делать авторизацию по мак, ип адресу и вдобавок логину и паролю - я прав?

Выставлять жесткую привязку МАК адреса к порту на свиче это пролезет, а вот авторизация по mak,ip,login,pssword, сработает только при шифрации трафика. Представь ситуацию: сидит злодей со снифером ему до фени как ты там авторизуешь клиентов, он выцепил пакет подключенного клиента, выставил у себя его IP и MAK, установил их у себя и пашет от его имени и что делать?