Atualmente, damos acesso à Internet usando o endereço IP em nosso script de firewall da seguinte forma
iptables -t nat -A POSTROUNTING -s 192.168.1.40 -j MASQUERADE
Mas notamos que alguns caras roubam esses endereços IP após o expediente para procurar coisas pessoais.
Para tornar essas coisas um pouco mais difíceis, quero conceder permissões usando o endereço MAC.
Então, essas pessoas encontrarão uma nova maneira de quebrar o sistema e aprenderão mais sobre redes.
Pessoalmente, acho que esta é uma questão de RH, não técnica, já que os administradores têm o suficiente para lidar com o fato de manter os externos entrando sem que o pessoal jogue o sistema para fazer o oposto.
Você poderia colocar todos os tipos de soluções técnicas no lugar e estar constantemente jogando em dia com eles, mas eu acho que seria melhor deixar o departamento de RH lidar com isso, um bom chute deles irá impedir esses caras de morrerem. faixas.
Você continua conversando sobre usuários e dispositivos clientes em sua pergunta, por isso é impossível inferir se sua política de segurança é restringir o acesso por usuário ou por dispositivo cliente ou por alguma combinação. Não podemos comentar como você deve implementar sua política de segurança quando não sabemos o que é isso.
Se você quiser controlar quem tem acesso à Internet e quais máquinas clientes podem acessar a Internet, as regras estáticas restringirão endereços IP (ou endereços mac) na firewall não é solução. Existem muitas maneiras diferentes de resolver o problema e estas devem ser óbvias.
Dito isso, você tem um problema muito mais fundamental do que a configuração do seu firewall - seus usuários acham que podem desrespeitar a política de segurança do seu site com impunidade.
Adicionar linhas abaixo para filtrar regras pode ajudar a restringir seu mascaramento.
-A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
...
-A FORWARD -j REJECT --reject-with icmp-host-prohibited