LAN server slackware 12.1

[Amorphous]

se da o bucata server slack 12.1

interfete:  eth0 89.xx.xx.2
eth0:1 89.xx.xx.120
eth0:2 89.xx.xx.125
eth0:3 89.xx.xx.126

eth1 192.168.0.1

se dau comenzile de pana acum:

iptables -t nat -A POSTROUTING -j SNAT -s 192.168.0.2/32 --to-source 89.xx.xx.126
iptables -t nat -A POSTROUTING -j SNAT -s 192.168.0.3/32 --to-source 89.xx.xx.125
iptables -t nat -A POSTROUTING -j SNAT -s 192.168.0.4/32 --to-source 89.xx.xx.120


toate bune si frumoase, netul merge, e totul ok.... fiecare ip intern iese pe ip ul asignat fara nici un fel de probleme

partea de shutdown net:

#iptables -A FORWARD -s 192.168.0.2 -j DROP
#iptables -A FORWARD -s 192.168.0.3 -j DROP
#iptables -A FORWARD -s 192.168.0.4 -j DROP

nu plateste netul, la revedere drum bun prin decomantarea liniei.

pana aici, dupa teste si verificari pare totul in absoluta ordine fara nici un fel de probleme

se da urmatoarea problema ... utilizatorul ip ului 192.168.0.2 are netul taiat, isi schimba ip ul 192.168.0.3, si are iar net, adevaratul utilizator plange ca ii arata ip conflict....

pana aici sper sa fi fost destul de explicit

problema mea ...  vreau sa setez ca identificarea fiecarui ip din retea sa se faca si dupa mac....


pe langa acest sir de comenzi,  ce linii trebuie sa mai introduc sa filtrez ip urile si dupa mac ??

iptables -A FORWARD -s ip -m mac --mac-source adresa.de.mac -j ACCEPT

aceasta este adresa de forward pe ip si mac ... .dar nu se bate cap in cap cu linia de routare in ip ul extern ?

poate cineva sa imi explice, si pe bvaza la liniile de comenzi pe care le folosesc pana acum sa adaug si comanda de filtrare mac ????


mersi

[danieLs]

se poate schimba si macul la fel de usor ca ip-ul, mai bine faci un server de PPPoE cu user & pass

[Gheorghe]

Vrei solutii la problemata ?
Sau sa iti raspundem la problema ?

Eu zic ca te obosesti degeaba, dar poate mizezi pe faptul sa nu sunt toti descuiari la cap a. i. sa stie toti sa isi schimbe si MAC-ul.

Solutiile pe care ti le dau eu e sa folosesti, switch-uri cu management / vlan-uri , sau daca nu pui pe Linux un Squid transparant cu  autentificare user si parola.

Parerea mea !

[danieLs]

squid?, si daca omuletii folosesc messenger, torrent, dc++, etc...?

[Gheorghe]

Da. Si ce daca folosesc, care e problema ? Se rezolva - ..... !

[danieLs]

din cate stiu squid e proxy/cache doar ptr http & ftp

[Gheorghe]

merge orice vrei tu prin el, stai linistit.

Numai daca vrea adminul !

[danieLs]

nu eram nelinistit

[Gheorghe]

Poate pe om il intereseaza doar asta, hai sa spunem cum se face daca inca pana acum nu a descoperit !

Aici specificam ficarui IP cate un mac pe care il acceptam

Cod:

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.5 -m mac --mac-source 00:C2:DF:44:10:01 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.6 -m mac --mac-source 00:00:01:C1:11:00 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.7 -m mac --mac-source 01:02:54:D0:78:D1 -j ACCEPT

La restul dam DROP

Cod:

iptables -t nat -A PREROUTING -i eth1 -j DROP

Cam asa sta treaba.

[SkullAds]