目前我们在防火墙脚本中使用 IP 地址授予 Internet 访问权限,如下所示
iptables -t nat -A POSTROUNTING -s 192.168.1.40 -j MASQUERADE
但我们注意到有些人偷这些 IP 地址可以在办公时间后浏览个人资料。
为了让这些事情变得更加困难,我想使用 MAC 地址授予权限。这样这些人就会找到新的方法来破坏系统,并会学到更多关于网络的知识。
答案1
我个人认为这是一个人力资源问题,而不是技术问题,作为系统管理员,我们有足够的能力来处理外部人员的进入,而不需要员工玩弄系统来做相反的事情。
您可以采用各种技术解决方案并不断追赶他们,但我认为您最好让人力资源部门来处理这个问题,他们一脚狠狠的踢打就可以让这些家伙停下脚步。
答案2
您在问题中不断在谈论用户和客户端设备之间来回切换 - 因此无法推断您的安全策略是限制用户访问、客户端设备访问还是某种组合访问。当我们不知道这是什么时,我们无法真正评论您应该如何实施您的安全策略。
如果你想控制WHO可以访问互联网,并且哪些客户端计算机可以访问互联网,那么防火墙上限制 IP 地址(或 MAC 地址)的静态规则就不是解决方案。有很多不同的方法可以解决这个问题,这些方法应该是显而易见的。
话虽如此,但您还面临着比防火墙配置更根本的问题——您的用户认为他们可以肆无忌惮地藐视您网站的安全策略。
答案3
在过滤规则中添加下面的几行可以帮助限制你的伪装。
-A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
...
-A FORWARD -j REJECT --reject-with icmp-host-prohibited