Задача: раздавать доступ к Интернет по MAC-адресам (гаджетам, планшетам, телефонам и etc сотрудников, кои они регулярно и часто меняют и посему резервировать для них IP адреса накладно).

На шлюзе (Debian Linux) задействованы (для примера) вот такие правила:

MAC='08:00:27:25:AC:27'
INETDEV='eth0'
LOCALDEV='eth1'
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -t nat -A PREROUTING -m mac --mac-source $MAC -j MARK --set-mark 100
iptables -t nat -A POSTROUTING -m mark --mark 100 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source $MAC -i $LOCALDEV -o $INETDEV -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -i $INETDEV -o $LOCALDEV -j ACCEPT

Т.е. политика по умолчанию DROP, через цепочку FORWARD пропускаются наружу только пакеты с указанного MAC адреса, пакеты с указанного MAC-адреса идущие во вне маскарадятся, внутрь пускаются все пакеты со статусами соединения RELATED и ESTABLISHED.

Всё прекрасно работает, именно так как и было надо.

Вопрос, насколько опасно пропускать внутрь все пакеты установленных соединений, может ли это как то сказаться на безопасности при вышеуказанных правилах?

Как по человечески задокументировать переменные на PHP? При описании переменной в виде:

/** Абсолютный путь к файлам проекта */
$my_config['basePath']=dirname(__FILE__).DIRECTORY_SEPARATOR.'..';

Получаю в доке шлак вида:

$my_config ['basePath'] = dirname(__FILE__).DIRECTORY_SEPARATOR.'..'
Абсолютный путь к файлам проекта

А хотелось бы не видеть то что присваивается.

И сможет ли кто-то привести рабочий пример использования конструкции \var?

Есть Exim4, всё настроено, всё бегает как мне надо. Есть работающие роутеры dnslookup(отправка напрямую) и smarthost(отправка через смартхост), по отдельности они работают корректно.

Как сделать, что бы если при отправке писем через роутер dnslookup произошел отказ в приеме письма, то письма слались бы через смартхост?

Например gmail.com переодически не хочет принимать письма от моего сервака, грит что то типа:

550-5.7.1 [XXX.XXX.XXX.XXX] The IP you're using to send mail is not authorized to
550-5.7.1 send email directly to our servers. Please use the SMTP relay at your
550-5.7.1 service provider instead. Learn more at
550 5.7.1 http://support.google.com/mail/bin/answ ... swer=10336 m9si3038539lae.120 - gsmtp

вот и хотелось бы, что бы в таких случаях письма шли через смартхост.