On Mon, Aug 22, 2005 at 10:29:11PM +0700, Fajar NS wrote: > gimana mencegah/memblok user melakukan NAT, sehingga koneksi > internet-nya bisa di-sharing lagi dgn komputer lain? ... > karena di tempat saya menerapkan filtering akses internet > berdasarkan pasangan IP dan MAC address yg terdaftar di server saja > yg bisa lewat, jadi user harus mendaftar dulu PC-nya dan kami dapat > memantau aktifitasnya ketika konek ke internet. maaf kalo > pertanyaannya kurang jelas..
Kalo saya sih, jangan membatasi berdasarkan IP atau MAC address, atau address layer lain yang bukan layer 6 ke atas. Jadi biar user mengauthentikasi identitasnya ke server menggunakan login password ke squid misalnya, tapi login dan passwordnya ini yg centralized (misal di LDAP) yang juga dipake utk email misalnya. Jadi ini discourage usernya untuk sharing password juga, kalo dia share dia rugi sendiri. Alternatif lain: passive atau monitoring, biarin aja begitu tapi dicatat (misal snmp/mrtg, ipacct, dan sejenisnya) penggunaan per IP/MAC addr, lalu yg penggunaannya berlebihan ya diminta pertanggungjawaban dari usernya. Kalo si X nge-NAT buat org lain trus penggunaan dr IP si X jadi bengkak ya tinggal damprat aja si X. Jadi intinya sama, discourage usernya utk sharing dg org lain karena dia sendiri yg kena suruh tanggung jawab. Kebanyakan masalah begini lebih baik diatasi dari sisi non-teknisnya (psikologis, sosialiasi, kekeluargaan, dll). Buat policy yang jelas, make sure dipahami oleh semuanya. Jadi waktu mendamprat user yg bersalah sudah punya dasar, jgn sampe asal damprat padahal policynya tidak pernah ada/diberitahukan. Ronny
pgpHHsRBTdWXT.pgp
Description: PGP signature