[ SlackList ] [ WkikiSlack ] |
On Thu, 15 Apr 2004 15:02:57 +0200
"Dominik" <doniu@poczta.fm> wrote:
> dlaczego nie polecasz?
Zwieksza obciazenie systemu, arpa lepiej wykorzystac do monitorowania
ludkow online.
> rozumiem ze regulka mowila by cos na ksztalt:
> -"pakiety o adresie zrodlowym ip=X.Y.Z.P i adresie innym niz
> ADRES_ETH DROP"
> w ten sposob wymusilbym zeby klient z adresem eternetowym: ADRES-ETH
> uzywal adresu ip=X.Y.Z.P,
> czy to dobre skojarzenie?
Tak, ale... domyslna polityka z jaka buduje sie firewalla powinno byc
dropowanie wszyskiego jak leci, a pozniej akceptowanie.. idac dalej tym
tokiem myslenia akceptowac ludkow z danym ip & mac cos w
stylu:
iptables -A FORWARD -j DROP (ew. iptables -P FORWARD DROP)
iptables -A FORWARD -s X.X.X.X -m mac --mac-source FF:FF:FF:FF:FF:FF -j
ACCEPT
--
pozdr. Slawek
GG: 1262167
GSM: (0)601-398-348
Received on Fri Apr 16 00:48:56 2004