Control de acceso mediante MAC
Hola:
Tengo una LAN con unas cuantas maquinas (S.O.
variados), el GW es debian.
Necesito restringir la salida de paquetes, de tal
manera que solo maquinas autorizadas puedan salir.
Creo que eso se logra mediante MAC.
En la cadena FORWARD pongo todas las direcciones MAC
de mis maquinas, si son, las mando a otra cadena mia
(firewall) para que se filtren por ip, como se esta
haciendo normalmente (mi firewall actual). Al final de
FORWARD "tiro" los paquetes que no coinciden con mis
maquinas autorizadas
Ejemplo:
iptables -I FORWARD -i eth0 -m mac --mac-source
XX:XX:XX:XX:XX:XX -j mifirewall
iptables -A FORWARD -j DROP
Es correcto esto? Necesito hacer lo mismo en INPUT?
Que tanto se degrada el rendimiento conforme aumenta
el numero de maquinas?
Alguien tiene idea del "trougput"?
Que tanto mejora si meto iptables al kernel, en lugar
de tenerlo como modulo? (Es una ganancia subsatncial o
ni vale la pena recompilar el kernel)
Por el momento solo hay unas 10 maquinas en la red,
pero puedo llegar a necesitarlo para otras redes mas
grandes (unas 200 o 220 maquinas) y que tengan que
pasar por 220 cadenas antes de siquiera llegar al
firewall creo que podria afectar el desempe?o de la
red.
O existe otra forma mas rapida y eficiente para
controlar por medio de MAC?
Si son muchas maquinas (o mucho trafico), que tanto se
degrada la calidad de servicio?
Oviamente esto depende de la cantidad de trafico y de
las capacidades del GW, pero alguien tiene una idea de
las proporciones de degradacion de servicio, cantidad
de trafico y capacidades del GW?
Gracias.
__________________________________
Do you Yahoo!?
Free Pop-Up Blocker - Get it now
http://companion.yahoo.com/
Reply to: