Freesco, NND, CDN, EOS

Witam.
Mam problem:
W iptables mam filtrowanie userów po MACu. Znalazł się jednak cwaniak, który na dwóch kompach wstawił ten sam MAC i kradnie wolne IP innym użytkownikom. Nie interesują mnie rozwiązania typu pppoe czy coś tam.
Pytanie:
Jak zrobić w iptables wzorzec, w którym będzie zawarty jednocześnie MAC i IP? Zastanawiałem się nad markowaniem pakietów po IP, a potem sprawdzanie maca, ale to chyba przerost formy nad treścią. Macie jakieś propozycje?
I prośba - jestem nowy w linuxie, samemu udało mi się jak do tej pory radzić z całą konfiguracją, a parę rzeczy już zrobiłem. Więc nie jeździjcie po mnie za mocno

Firewall by czerwo maskarada po macu i ip w najnowszej wersji

a co na to arp?

Co do firewalla, to myśle sobie tak: jak mam się czegoś nauczyć, jeżeli będę używał tylko konfiguratorów, nie wgłębiając się w resztę? Jak już będę umiał, to nie będzie mi się chciało robić samemu, i wtedy będę używał gotowców
Co do arpa, to właśnie nie wiem - mam w ethers wpisane wszystkie IP i MACe, i myślałem że to wystarczy. Restart arp -f nic nie daje. Coś jeszcze trzeba zrobić?

i pod tymi dwoma ip sa te same maci? czy znalazl mac innych klientow?

Właśnie tak. Na jednym MACu siedzą 2 IP. Poza tym, każdy z kompów może mieć każde ip z zakresu jaki przepuszczam w iptables.

pozwala tak?



czyli zrobiles do d....

No to właśnie dlatego piszę tutaj, bo zrobiłem do d... Nie wiem właśnie, dlaczego arp pozwala na takie rzeczy. Nie wiem też, jak wpisać w iptables warunek, żeby sprawdzał, czy MACowi pakietu odpowiada IP. Mam to zrobione oddzielnie, tzn najpierw sprawdzam maca, potem oddzielnie ip. Stąd też każdy z poprawnym macem moze wpisac sobie ip.
O arpie troche poczytałem, i logicznie mi wynika, że jak mu robie statyczną tablice odwzorowania, to powinno działać. A nie chce
Pewnie walne jednak na razie firewalla czerwa...

po to sa konfiguratory. zeby z nich korzystac. jak zrobisz tak to pozniej w iptables bedziesz mogl zobaczyc jak to wyglada :]

_________________

w tablicy arp zablokowales wolne adresy IP, czy tylko te co uzywasz???

Witam po dłuższej przerwie spowodowanej brakiem czasu.
Znalazłem rozwiązanie swojego problemu. Jest banalne i proste.
Kombinowałem kiedyś z wyrażeniami w nawiasach kwadratowych, z andami czy innymi funkcjami logicznymi. Trzeba było wpisać tak:
iptables -A FORWARD -s xxx.xxx.xxxx.xxx -m mac --mac-source xx.xx.xx.xx.xx.xx -j ACCEPT.
Bez zadnych dodatków, tylko oba wzorce.
KUUUURRR...... a ja siedziałem i się męczyłem nie wiadomo z czym.

Sert: W ethers wpisałem adresy i mace których używam. Nie wiem dlaczego nie czyta mi tego pliku. Poradziłem sobie, pisząc krótki skrypcik odpalany przy starcie systemu:
arp -s xxx.xxx.xxx.xxx zz.zz.zz.zz permanent
i tak dla każdego hosta.

I to rozwiązało wszystkie problemy.
Dzięki wszystkim, którzy chcieli pomóc.

Potem trzeba jeszcze zrobić:

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

Tak, wiem. Napisałem zresztą wyżej. Po wpisaniu tej komendy wyświetla mi się help do arpa.
Mam za to gorszy problem - dołączyłem nowego kolesia, sprawdziłem jego maca, dopisałem do forwarda:

iptables -A FORWARD -s <ip> -m mac --mac-source <mac> -j ACCEPT

I co? I nic. Koleś nie ma internetu. Wykreśliłem maca, zostawiłem ip - działa.
No to dopisałem do arpa:

arp -s <ip> <mac> i co? I oczywiście nic. Koleś znów nie ma inetu.

Jego maca sprawdzałem pare razy, na pewno sie zgadza, a działać nie chce. Jak tylko gdzieś wpiszę jego maca, odłącza mu internet. Identyczne wpisy dla innych działają.
Wie ktoś o co może chodzić?

P.S. Arp pokazuje mac kolesia, tak że tego na pewno nie pomyliłem.