|
|
楼主 |
发表于 2005-8-25 11:00:09
|
显示全部楼层
Post by 1ball
也许可以这样过滤
iptables -A FORWORD -s x.x.x.x -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
不过你机器多的话过滤条目也会很多
我觉得我这个办法很笨,但又想不出别的办法
SNAT就是你共享宽带让别人出去阿,你没做SNAT客户机怎么出去?路由?
过滤mac地址也可以在POSTROUTING里SNAT时候过滤
是呀,我都找遍了这个论坛里的DHCP相关的贴子,好像没查到,不过现在已解决这个问题。跟兄弟们分享一下,过程如下
vi /etc/ethers //新建一个ethers 文件,我感觉这是arp -s 默认在LINUX下找的文件,如果你执行arp -f 系统会提示你没有那个文件。
然后在ethers里添加记录,一个IP 一个MAC地址如
192.168.1.1 11:11:11:11:11:11
......
:wq
vi /etc/rc.d/rc.loacl
在最后添加
arp -f
:wq
使用arp 命令查看,可以看到标志为CM的添加的记录。
最后测试,用别的机器把IP改成192.168.1.1
这时会发现ping 192.168.1.254 (LINUXIP/ 网关IP) 不通。
实现IP跟MAC地址绑定,防止客户端修改IP。
目前正在使用IPTABLES+SQUID做透明代理+DHCP 系统RH9,还有一些安全方面的事情没搞。如果刚搞在搞这方面的朋友,欢迎加我的MSN:linfehlf@hotmail.com 一起讨论。 |
|
IP卡
狗仔卡
发表于 2005-8-22 09:46:11
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡