ГУРУ Linux'a

0

0

Привет всем ГУРУ Linux'a. 1.Не отправляйте плиз на ... ,а просто помогите мож кто знает !!! 2.Есть сетка в ней около 30 компов.Запросы идут через меня. 3.Я не раздаю ip. 4.Через меня ходят в нет и в другую корпаротивную сеть.. 5.Стоит система подсчета трафика (по ip адресам). 6.Есть умники которые просто меняют себе ip адрес и качают за счет других. Вопрос: Как привязать ip к MAC адресу.И когда ip не соответствует просто не общаться с ним. Прочитал всё про arp и arpw и т.д. но не помогло.Мож кто сталкивался с такой проблемой.

Ссылка

←	Как передать адрес DNS клиенту VPN

состояние интерфейса

→

iptables -A PREROUTING -s IP_ADDRESS -m mac --mac-source MAC_ADDRESS -j ACCEPT
а еще лучшеавторизацию ввести - ВПН там либо еще че нибудь. гарантий больше, тк мак легко вычислить и поменять. вот тут уже будет сложней бороться

anonymous
(10.01.04 18:47:40 MSK)

забыл добавить - остальные пакеты в DROP...короче на citforum недавно очень толковая дока по iptables появилась. иди читай

anonymous
(10.01.04 18:52:44 MSK)

Ссылка

Ответ на: комментарий от anonymous 10.01.04 18:47:40 MSK

> iptables -A PREROUTING -s IP_ADDRESS -m mac --mac-source MAC_ADDRESS -j ACCEPT

Совершенно верно, только -A FORWARD, а не -A PREROUTING, это же filter, а не mangle/nat

Я только предложу чуть более подробно один из вариантов решения Вашей проблемы:

Создаем новую цепочку check-mac. Это не обязательно, но всегда лучше когда набор правил хорошо структурирован:

iptables -N check-mac

устанавливаем политику по умолчанию:

iptables -P check-mac RETURN

то есть, пропускать все пакеты в вызвашую цепочку

Вставляем вызов этой цепочки в самом начале FORWARD:

iptables -I FORWARD 1 -j check-nat

Проверяем пакеты проходящие по этой цепочке и фиксируем все с подмененными ip для последующего разбора полетов:

iptables -A check-nat -s $IP -m mac --mac-source ! xx:xx:xx:xx:xx:xx -j LOG

и отвергаем их к такой-то матери:

iptables -A check-nat -s $IP -m mac --mac-source ! xx:xx:xx:xx:xx:xx -j REJECT

.....
(Повторяем эту операцию для всех необходимых ip)

anonymous
(10.01.04 21:48:03 MSK)

Ссылка

Ответ на: комментарий от anonymous 10.01.04 18:47:40 MSK

Cтавь VPN, а то синхронная смена mac и ip не спасет тебя от воровства траффика. Узнать чужой мак не проблема, достаточно один раз пингануть соседа и набрать arp -a. К VPN прикрути 128 mppe для надежности

anonymous
(11.01.04 03:03:31 MSK)

Ответ на: комментарий от anonymous 11.01.04 03:03:31 MSK

На самом деле шифрование vpn-трафика вопрос довольно спорный ИМХО...
Вот шифрование ПАРОЛЯ - безусловно да, а шифрование всего трафика ЗАЧАСТУЮ совершенно ненужно, но при этом это лишняя нагрузка на сервер...

ИМХО :)

SunPa ★
(12.01.04 13:01:05 MSK)

Ответ на: комментарий от SunPa 12.01.04 13:01:05 MSK

Нагрузка на самом деле небольшая, используется ведь понтовое криптование с использованием алгоритма rc4. У меня на Athlon 750 при среднем количестве юзеров в онлайне 40 человек, где на каждого по 10кб/c траффика загрузка проца 0.1%

anonymous
(12.01.04 17:27:17 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как передать адрес DNS клиенту VPN

Admin

состояние интерфейса

→

Похожие темы