On Thu, 15 Apr 2004 15:02:57 +0200
"Dominik" <doniu@poczta.fm> wrote:

> dlaczego nie polecasz?

Zwieksza obciazenie systemu, arpa lepiej wykorzystac do monitorowania
ludkow online.

> rozumiem ze regulka mowila by cos na ksztalt:
> -"pakiety o adresie zrodlowym ip=X.Y.Z.P i adresie innym niz
> ADRES_ETH DROP"
> w ten sposob wymusilbym zeby klient z adresem eternetowym: ADRES-ETH
> uzywal adresu ip=X.Y.Z.P,
> czy to dobre skojarzenie?

Tak, ale... domyslna polityka z jaka buduje sie firewalla powinno byc
dropowanie wszyskiego jak leci, a pozniej akceptowanie.. idac dalej tym
tokiem myslenia akceptowac ludkow z danym ip & mac cos w
stylu:

iptables -A FORWARD -j DROP (ew. iptables -P FORWARD DROP)
iptables -A FORWARD -s X.X.X.X -m mac --mac-source FF:FF:FF:FF:FF:FF -j
ACCEPT

--
pozdr. Slawek
GG: 1262167
GSM: (0)601-398-348
Received on Fri Apr 16 00:48:56 2004