Настройка локального сервера, интернет-шлуза и МАС-фильтра

[ukrainer]

это уже ближе, спасибо за подсказку. А такой алгоритм прописывать в iptables? Чтото еще надо настроевать?

[ukrainer]

ребята, срочно очень нужна ваша помощь!!!

все необходимые задания выполнил путем настройки сквозной маршрутизации с локальной сети в интернет, потом настроил фильтр IP-адресов (которым разрешено доступ к интернету - их ограниченое количество), теперь хочу, чтобы эти IP не мог присвоить себе кто угодно, а только те, чьи мас-адреса прописаны на сервере, тиесть надо организовать привязку мас-адреса к ІР.
Теперь прошу вашей помощи, при попытке прописать связь в том же файле, где прописаны разрешенные адреса по принцыпу IP --- MAC, получил отказ в доступе с прописаного адреса в сети... тоесть с компа, адреса которого прописаны в таблице, зайти в сеть невозможно... задача выполнена с точностью до наоборот... как решить эту проблему??? может привязки надо писать в другом файле, который создать специально отдельно??? + может надо отдельно скрипт писать для его работы???
Пользователь решил продолжить мысль 25 Сентября 2009, 18:11:40:спасибо за помощь и идеи. Все проблемы решил сам...

[nikulyan]

Молодец, что разобрался!
Так отпишись, чтоб другие на теже грабли не наступали!

[vlad.vrublevsky]

Тогда тебе надо сделать IP+MAC static на шлюзе
Например есть ip адреса пользователей которые ходят в инет, и ты не хочешь чтоб другой вручную прописал их ip и вышел в инет тут нам поможет указать статически связку ip+mac для клиентов и поставить софтинку arpwatch которая будет показывать у какого ip поменялся mac

[root@nat] /home/baton/> arp -an
? (10.0.0.2) at (incomplete) on em1 [ethernet]
? (10.0.0.1) at (incomplete) on em1 [ethernet]
? (10.0.0.3) at (incomplete) on em1 [ethernet]
? (10.0.0.5) at (incomplete) on em1 [ethernet]

Тут не указана явная связка IP+MAC, Нам необходимо создать файлик например /root/ipmac.txt с содержание вида:
10.0.0.2 00:e0:4c:f0:dc:80
10.0.0.3 00:e0:4c:f0:dc:81
10.0.0.4 00:e0:4c:f0:dc:82
10.0.0.5 00:e0:4c:f0:dc:83

Тут мы сделали явную привязку, далее загружаем файл:
[root@nat] /home/baton/> arp -f /root/ipmac.txt
и увидим вместо incomplete mac

т.е сейчас кто пропишет себе ip 10.0.0.2 обломается с интернетом, а у кого мак соответствует записи для 10.0.0.2 получит инет

Как отследить? Ставим софтинку arpwatch и запускаем примерно с таким содержанием:
[root@nat] /home/baton/> arpwatch -i eth0 -m NOMAIL -f /root/arp.dat -n 10.0.0.0/8
[root@nat] /home/baton/> tail -f /var/log/arpwatch.log
Sep 25 22:39:44 nat arpwatch: changed ethernet address 10.20.1.119 0:16:e6:42:25:a8 (0:f:ea:f:be:b5)
Sep 26 10:29:58 nat arpwatch: changed ethernet address 10.20.1.9 0:80:48:36:8b:f9 (0:15:f2:88:c4:d7)

Если пользователь сменил сетевую, нужно удалить его из привязки старой arp -d 10.0.0.1 и вписать arp -s 10.0.0.1 00:15:f2:88:c4:d7

Пользователь решил продолжить мысль 26 Сентября 2009, 09:05:14:некоторые полезные команды для работы с IP+MAC

Выводит всех кто обращался к шлюзу в связке с IP+MAC:
[root@nat] /home/baton/> arp -an | awk -v OFS="\t" '{print(substr($2, 2, length($2)-2), $4)}' > /root/macstatic.txt

очистка arp-таблицы:
[root@nat] /home/baton/> arp -d -a

Загрузка связки IP+MAC с файла:
[root@nat] /home/baton/> arp -f /root/static.txt

Привязываем MAC к IP:
[root@nat] /home/baton/> arp -s 10.0.0.1 00:11:22:33:44:55

Удаляем связку:
[root@nat] /home/baton/> arp -d 10.0.0.1