MAC na IP omezeni
Honza Houstek
houstek-lists na utf.mff.cuni.cz
Středa Říjen 29 00:34:07 CET 2003
On Tue, 28 Oct 2003, Vít Vomáčko wrote:
> Toto mi zase az moc nevyhovuje, krom toho mi to nejak uplne zasekava
> router,ale to by se asi vyresilo, kazdopadne nejlepsi by bylo pouziti cbq,
CBQ slouzi k necemu uplne jinemu. Shodou okolnosti ale neni uplne od veci
jine nez zname IP adresy preventivne zashapovat na nejake totalni minimum,
casto to je ucinnejsi nez nejaky firewall <g>
> coz ale neumim nastavit, nebo mozna trosku popis a zjednosuseni prikazu, co
> jste napsal predtim, bohuzel se v tom orientuji az prilis orientacne...
IMHO nejjednodussi moznost je nastavit to v netfilteru (jak vam tu uz par
lidi radilo). Dalsi jiz zminena moznost spociva ve hratkach s ARP
tabulkou, oproti tem iptables je to ale mene flexibilni (napr. ztracite
moznost prehledych logu).
Ja jsem si zvyknul podobne veci resit tak, ze mam DHCP server a v
podminkach pouzivani site je, ze si klienti nastavuji adresu vyhradne pres
DHCP (tak jak tento protokol stanovuje). V DHCP mam pouze staticke
pridelovani adres. Soucasne mam spusteny mirne upraveny arpwatch, ktery
pravidelne hleda "nepravosti" typu
- neznama MAC adresa
- IP adresa nepridelena DHCP
- platna MAC i IP, ale nepridelena DHCP (tj. klient si ji bud vubec
pres DHCP nevyzvednul, nebo vyzvednul, ale uz mu vyprsel max lease time)
-- Honza Houstek
Další informace o konferenci Linux