iptables: привязка MAC и IP

[HoverHell]

Как в iptables реализовать один из двух вариантов:
1. не принимать пакеты с определённого ip адрема если у него другой MAC адрес (и наоборот)
2. пускать к NAT только определённые компьютеры? Тут вопрос скорее такой: как ограничить доступ к NAT не по IP и MAC адресам (которые можно легко подделать) а каким-либо более надёжным способом?
все компьютеры (имеющие доступ, сам сервер и множество сторонних) находятся в одной свичевой локальной сети.

[KiWi]

1. не принимать пакеты с определённого ip адрема если у него другой MAC адрес (и наоборот)

↑

есть такая вещь --

Код: Выделить всё

-m mac

в ядре это

Код: Выделить всё

CONFIG_IP_NF_MATCH_MAC

документация -- сам догадаешься?

2. пускать к NAT только определённые компьютеры? Тут вопрос скорее такой: как ограничить доступ к NAT не по IP и MAC адресам (которые можно легко подделать) а каким-либо более надёжным способом?

↑

поставить к каждому пользователя по человеку, который будет после включения компа прописывать NAT правила для данного IP и перед выключением их убирать?

[HoverHell]

поставить к каждому пользователя по человеку, который будет после включения компа прописывать NAT правила для данного IP и перед выключением их убирать?

↑

Хм... наводит на мысль: поставить на каждый комп самописную программку, которая будет периодически соединяться к серверу (и посылать какие-либо определённые данные), потверждая что айпишник, откуда идёт соединение, можно причислять к доверенным на этот интервал времени.

А что-нть готовое есть? Идея конечно неплохая, но не настолько стОящая чтобы писать что-то своё.

[sash-kan]

2.

↑

vpn с аутентификацией?

[Sleeping Daemon]

2.

↑

vpn с аутентификацией?

А не проще для этого использовать /etc/ethers. И сразу закрыть пункт 1 и 2 первоисточника?

[Shura]

/etc/ethers - не панацея. Можно переопределить и mac и ip одновременно. Если вопрос в раздаче инета за деньги, то это не годится. Идеальное решение, как уже было сказано выше - vpn.

[HoverHell]

А не проще для этого использовать /etc/ethers. И сразу закрыть пункт 1 и 2 первоисточника?

↑

Спасибо за наводку на ethers, но не похоже чтобы это полностью решало пункт #2.

vpn ставить всё-таки не очень хочется.
Вопрос тут не в раздаче инета за деньги, а в защите домашнего доступа в интернет от стороннего пользования. Обычно для этого применяют физическое разделение сетей, но в данном случае затраты на это разделение не оправдывают целей.

[Sleeping Daemon]

А не проще для этого использовать /etc/ethers. И сразу закрыть пункт 1 и 2 первоисточника?

↑

Спасибо за наводку на ethers, но не похоже чтобы это полностью решало пункт #2.

vpn ставить всё-таки не очень хочется.
Вопрос тут не в раздаче инета за деньги, а в защите домашнего доступа в интернет от стороннего пользования. Обычно для этого применяют физическое разделение сетей, но в данном случае затраты на это разделение не оправдывают целей.

В принципе можно использовать вместо НАТ сквид с авторизацией по имени-паролю.