В настоящее время мы предоставляем доступ в Интернет с использованием IP-адреса в нашем скрипте брандмауэра следующим образом
iptables -t nat -A POSTROUNTING -s 192.168.1.40 -j MASQUERADE
Но мы заметили, что некоторые парни украсть эти IP-адреса в нерабочее время для просмотра личных вещей.
Чтобы немного усложнить эти вещи, я хочу предоставить разрешения с использованием MAC-адреса. Так что эти люди найдут новый способ сломать систему и узнают больше о сетях.
Лично я считаю, что это вопрос кадрового обеспечения, а не технический, поскольку у системных администраторов у нас достаточно средств, чтобы удерживать внешние входы без вмешательства персонала в систему, чтобы сделать наоборот.
Вы можете внедрить всевозможные технические решения и постоянно играть с ними в догонялки, но я думаю, вам лучше позволить отделу кадров заниматься этим, один хороший удар с их стороны остановит этих парней как вкопанных.
Вы продолжаете переключаться между разговорами о пользователях и клиентских устройствах в своем вопросе, поэтому невозможно сделать вывод, заключается ли ваша политика безопасности в ограничении доступа по пользователю, клиентскому устройству или какой-либо комбинации. Мы не можем комментировать, как вам следует реализовать свою политику безопасности, если мы не знаем, что это такое.
Если вы хотите контролировать ВОЗ имеет доступ к Интернету и какие клиентские машины может получить доступ к Интернету, то статические правила, ограничивающие IP-адреса (или MAC-адреса) на брандмауэре, не являются решением. Есть много разных способов решить проблему, и они должны быть очевидны.
Сказав это, у вас есть гораздо более фундаментальная проблема, чем конфигурация вашего брандмауэра - ваши пользователи думают, что могут безнаказанно нарушить политику безопасности на вашем сайте.
Добавление строк ниже в правило фильтрации может помочь ограничить маскарад.
-A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
...
-A FORWARD -j REJECT --reject-with icmp-host-prohibited