Ситцация следующая: есть LAN c довольно неглупыми юзверями и с выходом в Inet... Необходимо: надежная проверка прав пользователей на выход в Inet. Мне очень нравится следующий вариант: предполагаем, что IP адрес вещь непостоянная и легко подставляемая, принимаем также условие, что МАС адреса пользователи менять не могут. Тогда сама напрашивается простая и надежная схема, на ближайшем к пользователю раутере проверять у каждого пакета IP и МАС адрес и пропускать только пакеты, у которых значение пары МАС-IP найдено в заранее заданной таблице соответствий. В дальнейшем на граничном c Inet файрволе можно полагаться на правильность IP адресов и окончательную проверку прав осуществлять на основе IP адресов... Вопрос если какой-нибудь пакетный файрволл, где реализована такая схема ??
Форум —
Admin
