ip & mac

одним словом не скажешь... для начала - ставить arpwatch и больно бить особо умных по голове. также сеть делать на свитчах и включать port secure.

Переезжай на *BSD - там попроще с этим делом ;)

man ipchains

свитчи непомогут - www.nag.ru , было подробное описание ЧТО В СЕТИ НА СВИТЧАХ ДВА КАМПА с ОДИНАКОВЫМИ(!!!) IP РАБОТАЮТ В ИНТЕРНЕТЕ , хоть и глючно . Нужны умные свитчи , но они дорогие :(

да , и привязка MAC к IP надолго непоможет , найдутся те кто MAC сменят и тд и тп - просто нужны карательные меры - пойман - в голову , и прилюдно , чтоб другим неповадно было :)

A kak naschet:
arp -d -a
arp -s x:x:x:x:x:x i bla-bla-bla?...

ну дык , у меня так и прописано :) ну а толку то ? если кто захочет , то под другим апишником выйдет как нех - меняет MAC на MAC жертвы и все дела :( Другое дело что сетка на хабах , и походу если в сети вылезут два интерфейса с одним MAC наступит эндетц . Кстати , ктонить проверял - че бует с сетью на хабах если там два интерфейса с одним MAC но разными IP ??? По поводу свитчей - если кто невкурсе - если свитч перезагружается - на нем большая нагрузка - то он становится простым хабом :( Так что метода одна - найти и с дубиной обезвредить незаурядного врага сети %))))))

Подыми маскарад с правилами на КАЖДОГО пользоватеоя в отдельности, а потом экспериментируй с ARP. кстати, сними дамп arp и сохрани в файле, а потом загружай arp -f mac.file.

а насчет одинаковых МАСов - тот, кто вылезет в сеть, где уже есть комп с таким МАСом - он просто сети не узрит, а комп у него хайлать начнет и всячески матерится, так что такому спуферу только хуже будет другой расклад если спуфер первым вылезет

VPN?