Hallo Gerd, Thomas, On Fri, Jan 28, 2005 at 11:43:14AM +0100, Gerd-Christian Michalke wrote:
Stichwort ist hier MAC Adresse (*):
in dhcpd.conf hilft solch ein Eintrag:
host the_host { hardware ethernet xx:xx:xx:xx:xx:xx; fixed-address XXX.XXX.XXX.XXX; }
dans mittels IPTables zusehen das auch nur bekannte MAC Adressen durch kommen:
iptables -m mac --mac-source MACADR usw...
der Ansatz ist schon recht sicher. Allerdings nur solange $SKILL bei deinen Usern nicht all zu hoch ist. Sonst kann ein einfaches ifconfig in Verbindung mit z.B. dhcpcd dazu genutzt werden diese "Sicherheitssperre" zu umgehen. Wenn du nur Windows Systeme im LAN hast und sicherstellen kannst, dass keine anderen Systeme "eingeschleppt" werden sollte das deine Lösung sein. VPN ist evtl. noch sicherer. Allerdings ein ziemlicher Overhead. Des weiteren würde ich als ehemaliger Student ein solches System gar nicht gut heißen, daß es mir nicht erlaubt mit irgend einer meiner Kisten direkt ans Netz zu gehen. Ich kenne aber auch das Problem mit Idioten, die andere IP Adressen kapern und damit das Netz unbrauchbar machen. Das ist dann aber wieder ein soziales Problem was sich nur bedingt mit technischen Mitteln lösen läst. Des weiteren finde ich es dämlich, das z.B. Belwue den kompletten Traffic mit gesetzem syn Flag blockt, nur um $TAUSCHBÖRSENNUTZER auszugrenzen. Damit sind z.B. private Webserver und remote ssh Zugang zum eigenen Server nur über sehr seltsame "Umwege" möglich. Klar wird dadurch auch die Nutzung von Tauschbörsen erschwert. Der sinnvolle Umgang mit Technik ist aber denke ich auch ein Punkt der an einer Hochschule vermittelt werden sollte. Und nur wegen ein paar Idioten, die übrigens problemlos identifizierbar sind allen Usern den freien Zugang zum Netz zu blockieren finde ich falsch. Ja die zweite Möglichkeit erfordert etwas mehr Wissen und ist etwas aufwändiger. IMHO lohnt es sich aber diesen Aufwand zu betreiben. Das wird jetzt dann aber wohl etwas zu OT ;) Find, fix, unplug ;) Greetings Daniel -- Outlook users: please do not put my email address in your address book. This way, when you get infected with a virus, my address won't appear in the From: header. Thanks.