ผมจะทำ Server สำหรับให้บาง user สามารถเข้าอินเตอร์เน็ตได้

คือว่างี้ครับ โดนเจ้านายสั่งมาให้ lock เฉพาะบางเครื่องให้สามารถเข้าอินเตอร์เน็ตได้ ผมก็เลยจะเอาเครื่องว่างๆ มาติดตั้ง Debian โดยที่ผมจะสามารถ lock ให้บางเครื่องสามารถเข้าเน็ตได้ โดยอาศัย Mac Adress ที่ระบุไว้ได้หรือเปล่า เพราะแค่ระดับ IP address บางคนก็ปลอมกันได้ง่ายๆ

ได้ครับ ถ้ามีไม่กี่เครื่อง ก็ใช้ iptables จัดการได้เลย

# iptables -A FORWARD -m mac --mac-source A1:B1:C1:D1:E1:F1 -j ACCEPT
# iptables -A FORWARD -m mac --mac-source A2:B2:C2:D2:E2:F2 -j ACCEPT
# iptables -A FORWARD -j DROP

แต่จะให้ดีน่าจะจับคู่กับ IP Address ด้วย เพราะการปลอม MAC Address ก็ไม่ใช่เรื่องยากเช่นกัน

# iptables -A FORWARD -m mac --mac-source A1:B1:C1:D1:E1:F1 -s 192.168.0.11 -j ACCEPT
# iptables -A FORWARD -m mac --mac-source A2:B2:C2:D2:E2:F2 -s 192.168.0.12 -j ACCEPT
# iptables -A FORWARD -j DROP

แต่ถึงอย่างไรการปลอมทั้งสองอย่างก็ทำได้ แต่จะมีผลคือ ระบบจะฟ้องว่ามีการซ้ำกันของ IP Address ในระบบ
ทำให้เราวิเคราะห์ได้ว่า มีคนในองค์กร พยายามที่จะปลอมแปลง IP

แต่ถ้ามีเครื่องจำนวนมาก (> 20 เครื่อง หรือขึ้นอยู่กับการทดลอง) การใช้ iptables สำหรับทำ filter จะช้ามาก ๆ ต้องพึ่งตัวช่วย
อย่างเช่น ipset (http://ipset.netfilter.org) ซึ่งทำงานเร็วกว่า แต่จะมีขั้นตอนในการติดตั้งยุ่งยากนิดหน่อย
เอาเป็นว่า ถ้าจะใช้ ipset เราก็มาจับเข่าคุยกันอีกทีละกันครับ :)

___
Neutron: Linux Addict!

ผมลองดูแล้ว ผลคำสั่ง เป็นแบบนี้หรือเปล่าครับ
localproxy:/home/ouychai# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- MyDslModem.local.lan anywhere MAC 00:01:38:6E:3C:77
ACCEPT 0 -- FreeNet.local anywhere MAC 00:02:44:7A:95:FA
DROP 0 -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
localproxy:/home/ouychai#

แต่พอทดลองแล้ว ปราฏำว่า มันกันไมไ่ด้อะครับ
ผมลืมบอกไป คือว่าผมจะใช้ การ์ดแลนสองใบ อีกอันหนึ่งต่อเข้า ADSL router modem อีกใบต่อเข้า Hub
แล้วผมก็ set squid เป็น proxy แล้วนะครับ แล้ว proxy สามารถใช้งานได้แล้ว ครับ ขาดแต่จะทำยังไงให้สามารถให้เลือกเฉพาะเครื่องที่เราต้องการเท่านั้น ที่จะสามารถใช้ proxy ได้

ประธานกลุ่มคอมพิวเตอร์และอินเตอร์เน็ต
121 ม.3 ต.สง่าบ้าน อ.ดอยสะเก็ด
จ.เชียงใหม่ 50220
www.sangaban.org

อันนี้ ลอง ปิด proxy ก่อน นะครับ เพราะที่ user เล่นได้ น่าจะมาจาก proxy นะครับ

http://www.khonthaihost.net
Project รับแก้ไขระบบ อินเตอร์เน็ตให้ โรงเรียนฟรี เฉพาะ (เมือง สันทราย หางดง สันกำแพง แม่ริม สันป่าตอง) จังหวัดเชียงใหม่ ครับ
ถ้านอกเหนือจากนั้น ขอ คุยดูก่อนครับ

ผมลอง block เฉพาะ Mac address ปรากฎว่าทำได้นะครับ แต่ block พร้อมกับ IP ทำไมทำไม่ได้ ผมก็ไม่เข้าใจ

ประธานกลุ่มคอมพิวเตอร์และอินเตอร์เน็ต
121 ม.3 ต.สง่าบ้าน อ.ดอยสะเก็ด
จ.เชียงใหม่ 50220
www.sangaban.org

เอ.. แปลกนะครับ
เพราะถ้า ไม่ match rules เลย สุดท้ายก็น่าจะ DROP ไม่น่าจะผ่านออกไปได้นะครับ
___
Neutron: Linux Addict!

Creative Commons License ลิขสิทธิ์ของบทความเป็นของเจ้าของบทความแต่ละชิ้น
ผลงานนี้ ใช้สัญญาอนุญาตของครีเอทีฟคอมมอนส์แบบ แสดงที่มา-อนุญาตแบบเดียวกัน 3.0 ที่ยังไม่ได้ปรับแก้