Rutare de IP+MAC!!!

Salut! am o intrebare: cum se poate face ca un singur IP sa poata sa ia net prin server-ul meu, fara ca el, acel IP, sa poata devenii si el la randul lui Gateway, pentru alte masini? Am auzit ca ar fi o solutie ca in momentul in care faci rutare, sa nu rutezi doar ip-ul, dar si mac-ul placii de retea, astfel avand ip+mac la rutare.
Ce pareri aveti? alte soultii??   thx all!!

Ok. Sa pune niste lucruri in ordine.

1. MAC-ul *nu* se routeaza or something

2.  Pt a mai avea un IP in afara de IP-ul dat de ISP atunci trebuie deja sa ai un subnet.

Sa trecem la ceea ce cred eu ca vrei sa faci

1. ai un gateway ce are un IP de la ISP

2. pe acelasi gateway mai vrei sa ai un IP *extern* pe care vrei sa-l folosesti in alte scopuri.

3. pt ce vrei sa ai doua IP-uri pe gateway?

cred ca ai inteles gresit

situatia cred ca e ceva de genul :
omul are net de la un ISP oarecare si mai da net si la alti cativa din LAN(nu la toti)  ... iar problema lui e cum sa faca ca aia la care da el net sa nu dea la randul lor altora prin NAT ....

daca am inteles corect .... problema e destul de complexa .... singura solutie pe care o cunosc eu e sa cauti pachete de la acelasi host cu TTL diferit ... in cazul in care ai astfel de pachete de la un individ inseamna ca ala mai are cativa in spate ..... dar asta tine doar daca ala nu rescrie TTLul pachetului (ceea ce nu se face default) deci doar daca nu e ala mai smecher ca tine ...

Eu vreau ca prin acel IP, restrictionat pe un anumit MAC, sa nu se poata pune un router care sa mascheze o eventuala retea locala, dandu a inteles ce doream eu, deci aveti idee cum se poate face?

Iar blocarea  MAC-urilor eventualilor nepoftiti, nu este o solutie, bine cunoscut fiind faptul ca MAC-ul poate fi schimbat.

nu se poate face 100%. te poate pacali usor.

Limitezi numarul de conexiuni pentru ip-ul respectiv, ceva gen 20-30 cred. Trebuie sa gasesti o valoare acceptabila.
Alta idee nu am.

MARK MY WORDS:

Un par-pa-treitor are cam doua posilbilitati sa te tepuiasca:
1) Face NAT pentru o alta retea din spatele lui
2) Da acces retelei din spate printr-un proxy

In primul caz il gasesti si il arzi cu minimum de efort. Dupa cum au demonstrat mai multi exponenti ai cercurilor esoterice de savanti americani, iptables da ceatza! Tu poti sa dai "man iptables". Tot ce trebuie sa faci este sa tai leimarilor MAC-urile in chain-ul FORWARD. Spre exemplu, ca sa tai MAC-ul 52:52:52:52:52:52 zici asa:
iptables -A FORWARD -m mac --mac-source 52:52:52:52:52:52 - j DROP
O alternativa mai logica, daca nu vrei sa faci munca patriotica de scris scripturi, este sa tai tot si dai drumul numai la MAC-urile celor care vrei sa aiba acces. Tot asta iti rezolva si problema cu cei care isi spoofuiesc MAC-urile

In al doilea caz e cam naspa. Te prinzi destul de usor cine e dar nu poti sa-i opresti pe cei din spatele lui decat taindu-l pe prost. Te poti prinde daca vezi chestii dubioase de la un IP cum ar fi mai multe conexiuni de Yahoo! Messenger sau mIRC, activitate mare pe DNS si alte d-alde astea.

HUGH! I HAVE SPOKEN!