Помогите настроить фильтрацию по mac на Ubuntu Server 10.04

[drfooks]

Поставил сервер, настроил dhcp, dnsmasq и форвардинг. Все работает, компы подключаемые к локалке получают ip и инет. Все прекрасно, но сделал привязку ip адреса к mac через arp -f /etc/ethers, соответсвенно в /etc/ethers прописал кому какой адрес давать. Теперь мне надо сделать так, чтобы все кто не указан в этом файле при подключении к сети не получали ip и соответственно не имели доступа к локалке и инету. Подскажите как это сделать?

dhcpd.conf:

(Нажмите, чтобы показать/скрыть)

subnet 172.168.1.0 netmask 255.255.255.0
{range 172.168.1.20 172.168.1.120;
option domain-name-servers 172.168.1.1;
option routers 172.168.1.1;}

Инет в сеть транслируетсяследующим образом:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

/etc/sysctl.conf

(Нажмите, чтобы показать/скрыть)

net.ipv4.ip_forward=1

[kostryukov]

прием ломом, дать инет только определенным ip

Код: [Выделить]

iptables -I FORWARD 1 -s 192.168.0.2 -j ACCEPT
iptables -I FORWARD 1 -d 192.168.0.2 -j ACCEPT
iptables -I FORWARD 1 -s 192.168.0.3 -j ACCEPT

iptables -A FORWARD -o eth0 -p tcp -j DROP
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

[drfooks]

ну а если у меня их будет много, это же как-то не практично каждого ломом вписывать...

[kostryukov]

возможно поможет - https://forum.ubuntu.ru/index.php?topic=84419.15

[AnrDaemon]

Не поможет.

[kostryukov]

а если указать в dhcpd.conf

***
range 172.168.1.20 172.168.1.120;
***

ровно столько ip, сколько нужно подключить к инету, допустим 10 компов, следовательно

range 172.168.1.20 172.168.1.30

а в /etc/ethers прописать соответствия ip mac

?

[AnrDaemon]

А если не указывать range? Такая светлая мысль вам в голову не приходила?

(Нажмите, чтобы показать/скрыть)

# Inner LAN
subnet 192.168.17.0 netmask 255.255.255.0 {
   option domain-name "example.lan";
   option domain-name-servers ns.example.lan;
   option routers 192.168.17.1;
   deny client-updates;
   authoritative;
   host natasha {
      hardware ethernet 00:11:11:11:11:11;
      fixed-address user1.example.lan;
      }
   host alexandr {
      hardware ethernet 00:11:11:11:11:12;
      fixed-address user2.example.lan;
      }
   }

# Guest LAN
subnet 192.168.10.0 netmask 255.255.255.240 {
   range 192.168.10.3 192.168.10.14;
   deny client-updates;
   authoritative;
   }

Гости могут позвонить по VPN и получить локалку и инет. Правда, для этого надо знать адрес сервера (легко снифится) и иметь учётную запись в домене (агащазблин).

[drfooks]

vpn в данном случае не канает, т.к. только все усложняет. Да и не нужен он для маленькой конторки, где всего-то и надо чтобы сервер инет раздавал, да держал виндовую шару.

[atem32]

берешь в dhcp конфиге убираешь range и прописываешь мак-клиент(код не помню,погугли)

[AnrDaemon]

vpn в данном случае не канает, т.к. только все усложняет. Да и не нужен он для маленькой конторки, где всего-то и надо чтобы сервер инет раздавал, да держал виндовую шару.

VPN тут слева. Что ты цепляешься к последнему слову в сообщении, всё прочитай и осмысли сначала, прежде чем отвечать.

берешь в dhcp конфиге убираешь range и прописываешь мак-клиент(код не помню,погугли)

Код я только что дал...