目前我们使用我们的防火墙脚本中的IP地址给出Internet访问,如下所示
iptables -t nat -A POSTROUNTING -s 192.168.1.40 -j MASQUERADE
但是我们注意到有些人在办公时间后偷走了这些IP地址来浏览个人资料。
为了使这些事情变得更加困难,我想授予使用MAC地址的权限。 所以这些人会find新的方法来打破系统,并将更多地了解networking。
就我个人而言,我认为这是一个人力资源问题,而不是技术问题,因为我们有足够的系统pipe理员来处理让外部人员进入系统而不是相反的情况。
你可以把各种技术解决scheme放在一边,不断地跟上,但是我认为你最好让人力资源部门来处理这个问题,一个好的踢他们的人会阻止这些人死去。
在你的问题中,你不断地讨论用户和客户端设备 – 所以不可能推断出你的安全策略是限制用户,客户端还是某种组合的访问。 当我们不知道这是什么时,我们无法评论您应该如何实施您的安全策略。
如果你想控制谁可以访问互联网和哪些客户机可以访问互联网,那么限制防火墙上的IP地址(或MAC地址)的静态规则是无法解决的。 有很多不同的方法来解决这个问题,这些应该是显而易见的。
话虽如此,您的防火墙configuration比您的防火墙configuration更为根本性问题 – 您的用户认为他们可以藐视您站点的安全策略而不受惩罚。
将下面的行添加到过滤规则可以帮助限制你的伪装。
-A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT ... -A FORWARD -j REJECT --reject-with icmp-host-prohibited