15.06.2013 13:58, Mikhail A Antonov пишет: > 15.06.2013 11:31, Alex Dubinin пишет: > Фильтрацию по MAC можно использовать только в пределах одного > L2-сегмента. Чаще всего её используют чтобы соседи не воровали > интернет друг у друга. На свитче привязка порт+mac, на шлюзе - mac+ip. > Когда-то давно считалось что MAC сменить это целое дело. Особенно в > Win95/Win98. Сейчас же поменять MAC можно меньше чем за минуту. Для > фильтрации внешнего интернета (да и вообще даже следующего L2-сегмента > сети) данная фильтрация не подойдёт. Спасибо за обстоятельный ответ. Теперь всё ясно и понятно. > Да. До меня уже предложили почитать. Для начала - осознать модель OSI > [1]. Будет интересно - можешь обложиться книжками. > Можно это [2] ещё почитать. Я обязательно почитаю Ваши ссылки, спасибо за них. > Даже если бы было можно - зачем оно такое? Особенно с учётом того, что > mac меняется легко. Ну не как способ защиты, а идея была например разрешить коннект к SSH только с перечисленных MAC. Идея была примерно такая. MAC то можно поменять без проблем, но нельзя же все MAC перебрать. Просто на данный момент использую port knoking для открытия/закрытия доступа к порту. Но в общем все понятно по моей идее. P.S. Считаю, что вопрос исчерпан. Большое спасибо за ответы.
Attachment:
signature.asc
Description: OpenPGP digital signature