Да, забыл написать что пробовал
arp -f /eth/ethers
ifconfig eth0 -arp
немного работает, потом отваливается интерфейс начисто
если кто делал что-то в этом роде, напишите или киньте на shadowjack@mail.ru
если нужно контролировать только трафик http/ftp -- то сквид новый с этим справляется (acl по ip/mac).
если пользователи не очень продвинуты. то всем можно поставить использование dhcp
(и раздавать ip в зависимости от mac).
если пользователи продвинуты, но не умею менять mac-адрес, то поставить ядро 2.4 и фильтровать по ip/mac.
если пользователи продвинуты -- решать проблемы административно со всеми вытекающими последствиями для оных.
---
wtf_
Пользователи продвинуты, но боятся физической расправы.
А нельзя сделать как я хотел? (т.е. в ручную создать табицу arp и заморозить)
Что-то не хочится на машину ставить тестовые ядра
он смотрит за соответствием ИП и МАКов, шлет письма на сервер в подозрительных ситуациях,
а сервер срезает подозрительные ИП через ipchains -A forward -j DENY -s "подозрительный_ИП".
только это все баловство, МАКи они все равно смогут поменять.
Arpwatch стоит, тока это не хочется возиться со скриптами для ipchains.
arp -s ip_address mac_address не прокатывает, в таблицу арп просто
автоматически добавляются новые записи, и все работает (вроде)(я ж
писал, что делал arp -f, это как -s, тока из файла брать ИП-ы/МАК-и).
dhcpd - это из другой оперы...
Включить в ядро поддержку rarp и с помощью команды rarp создать статическую таблицу совместно с arp
Т.е создаеш arp -f /etc/ethers
потом rarp -f /etc/ethers2
ethers2 противоположного содержания, подробней смотри в мане к rarp, а то нет под рукой Linux точно не помню
Тогда не будет лишних записей в таблице
Тоесть arp спасает от подстановки IP которые есть в /etc/ethers
Но когда ставят IP которых нет в /etc/ethers то тогда этот IP появляется в таблице arp
rarp позволяет избежать этого
P.S Интерфейс конфигурь обычным образом