> > A existuje rozumny duvod se domnivat, ze ten, kdo umi zmenit IP
> > adresu neumi zmenit MAC, kdyz to se ve Windows dela ve stejnem okne,
> > jen o > > zalozku vedle ?
>
> To samozrejme muze, ale musel by si spolu s ni "ukrast" take
> prislusnou MAC,
coz je trivialni.
> resp. jde o to nikoliv povolit jen nektere MAC a zvlast jen nektere
> IP... smyslem by melo byt kontrolovat primo dvojice, tedy ze smi
> komunikovat pouze IP 1.2.3.4, pokud je prislusna rozhrani
> aa:bb:cc:dd:ee:ff ...
Pokud je tech "povolenych" pocitacu dostatecne malo na to, aby ses
nezblaznil z udrzovani bijekce mac:ip, zaved si proste static arp,
jak uz se tu rikalo; pokud je jich vic, a obcas se v nekterem meni
sitovka, tak se z toho ale zblaznis.
> V tomto pripade neni nutne vedet, odkud se dany clovek pripojuje,
> naopak by mel byt umoznen pohyb kdekoliv po siti...
Aha, tak to je trosku jinak, nez jsem myslel ...
> Pokud to ukazu na prikladu, tak mame firmu z IT oblasti, aby se
> zamezilo tomu, ze si budou zamestnanci pripojovat do site sve soukrome
> notebooky a pristupovat s nimi k Internetu pres nejaky firemni router
> (nebo do jineho segmentu pres router), tak se povoli pristup jen
> stavajicim pocitacum, ktere nejsou soukrome. Pokud pak nekdo prijde se
> svym notesem, tak se nikam za router nedostane, proto zacne treba
> laborovat s IP nebo i MAC, ale musel by se nutne trefit do konkretniho
> paru IP a k ni prislusne MAC (muze si je samozrejme odchytit, ale
> rekneme, ze se nepredpoklada, ze by pracovnici byli natolik znali...).
Pokud to dobre chapu, tak staci, kdyz na svem soukromem laptopu nastavim
IP a MAC sveho pracovniho pocitace a prendam kabel; coz jiste zvladne
uplne kazdy ...
To ale neosetris nijak - jakmile potom paket odejde ze sitovky toho
laptopu, nikdo uz na tom paketu nepozna, ze to nebylo z meho pracovniho
pocitace.
> No a pak tu mame servis, kde se provadi opravy pocitacu, ktere
> prinesou zakaznici, tyto pocitace nejsou samozrejme v siti
> registrovane a pro jednoduchost se to ani delat nechce. Proto se
> nektera mistnost, kam maji pristup jen povolane osoby prenatuje
> s maskaradou
Jasne, celou tu mistnost das za separatni interface, nejspis na nem
budes provozovat dhcpd, a pres tento interface traffic do netu povolis;
zde ovsem stoji naplneni tveho zameru na tom, ze k tomu interfacu se
zadny jiny stroj fyzicky nedostane.
js
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
