Linux下客户端MAC地址控制 ^@LhUs>3
iptables squid相结合的方法 ~v(M6dz~vk
^AjYe<RU}
Linux作为服务器操作系统,具有服务稳定、功能强大的特点。自Linux 2.4内核以来,其中又内置了NetFilter包过滤架构。它从而具有强大的数据包过滤功能,保证用作软件路由器时更得心应手。例如,很多中小企业使用 Linux软件路由器将内部网络接入Internet,其效果并不比某些专有系统逊色,而且在功能定制、应用扩展等方面更有优势。 ,-IF++q
q'AnI$!
在接入Internet中,不同的用户应当拥有不同的权限,为了防止权限盗用问题,对用户的识别非常重要。目前,常见的识别方法有用户名/密码识别、用户IP地址识别和用户网卡物理地址(MAC地址)识别等。 M=
q~EMH
2:HP5
基于用户名/密码的认证是传统的识别方法。它在管理和使用上都比较繁琐,客户端也需要进行配置,大部分办公用户不能独立完成此类配置,对密码的保护也不够。这种方法往往是既加重了网络管理员的负担,又达不到认证的目的。 {9|$%4kRl
J (&M<<%
IP地址识别虽然可以做到客户端零设置,但是由于IP地址修改方便,无法杜绝IP地址盗用的情况,所以基本无安全性可言。 0e:QuV2X
z'}= A
再来看网卡的物理地址。由于普通用户无法修改网卡的MAC地址,并且它和IP地址一样都是惟一的,完全可以用来识别用户,不需要客户端进行任何配置。即便是网络发生了变化,如扩容、改建等,导致客户端IP地址或用户名改变也不会影响到MAC地址。因此,通过判断客户端MAC地址的方法来识别用户,实现所谓的透明认证是一种简单、有效的选择。 c;8"vJ
-f;j1bQ
下面我们来讨论当Linux被用作Internet网关,并集成代理服务时的MAC地址透明认证方法。目前,通过MAC地址识别用户的方法主要有使用iptables的mac匹配模块、使用代理服务器自身的mac地址检查功能和利用静态ARP表进行控制三种。 5nM9!A\D
>-|90CSdSJ
<
J<;?%]
0m YZ7S5g
使用iptables的MAC匹配模块 o`T<