IPtables a filtrovani podle MAC adres

[Jakub Jirků]

K tomu falsovani adres, at uz ip nebo mac:

Teoreticky zabezpecena sit by mohla vypadat tak, ze na prepinacich bude
z neregistrovanych adres povolena komunikace jenom s jednim bodem site.
Ten bod bude nejaky server. Ten jakmile se do nej nekdo prihlasi (pomoci
specialni aplikace, se sifrovanym spojenim napsane treba v jave aby to
slo spustit na cemkoliv) tak vygeneruje pravidla pro firewall s napevno
nastavenou ip a mac adresou a prenastavi prepinace (a jine prvky site)
aby umoznily komunikaci pri spravne kombinaci port/mac/ip.

Dokud bude prihlasovaci aplikace bezet, bude udrzovat tcp spojeni se
serverem. Jakmile se spojeni prerusi, server okamzite vyrazi adresu ze
seznamu povolenych.

Ve vysledku se nepujde pripojit do site bez prihlaseni (pokud se budete
chtit dopinknout, ale koneckoncu i doarpnout jinam nez na ten server) 
a jakakoli manipulace se siti bude doplnena jmenem todo kdo to udelal.

Napadaji nekoho nejake nevyhody tohoto konceptu, kdyz nepocitam cenu? :)

A pokud to chcete jednoduseji, openbsd pry umi menit pravidla firewallu
podle prihlasenych uzivatelu, mit otevreny forwarding pro ip ze ktere je
pripojen dokud je aktivni ssh sesna a jakmile umre tak odstrihnout
spojeni. A uzivatel by svoje jmeno a heslo pujcovat nemel.

Obavam se ze tohle pujde mimo thread, protoze neodpovidam do nej (smazal
jsem si vsechny zpravy z nej :) ) ale to snad nevadi.

-- 
Jakub Jirků <jsem na sosacek.org>
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20040525/be2274bc/attachment.sig>