Потрібно з'ясувати причину появи іншого мака.
1. У Вашу мережу можна будь-кому "з двору" підключитись (принести лаптоп, чи ви маєте безпровідне з'єднання і хтось з вулиці підключається) тоді рішення складніші...
2. Хтось в середені мережі міняє свій мак та ІР, тут можна зловити і покарати щоб інші боялись таке робити...
Дану конкретну проблему можна вирішити так:
iptables -t nat -I 1 PREROUTING -p ALL -s 192.168.1.1 -m mac --mac-source ! XX:XX:XX:XX:XX:XX -j DROPале це не вирішить її в загальному.
Трохи краще підняти arpd наприклад на 192.168.1.1 плюс /etc/ethers (arp -f ім'я файлу)
arpd [-d] -i eth0 192.168.1.0/24тепер він буде відповідати на арп запити для мережі 192.168.1.0/24 перед тим перевіряючи відповідність мак - ІР
Ще один варіант до якого я найбільш схиляюсь /etc/ethers (arp -f ім'я файлу) (я прив'язую через DHCP) плюс відключити на всіх компах "підтримку" протоколу arp (запити відповіді). Таким чином компи будуть мати тільки ту арп таблицю яку ви прописали в /etc/ethers, з компами локалки адреси яких відсутні в /etc/ethers зв'язок буде неможливий.
Всі наведені вище варіанти обходяться перепрошивкою мак адресу з одночасною зміною ІР:( Коли інший комп виключений таке несанкціоноване підєднання виявити неможливо... Коли включений на ньому з'явиться повідомлення!
Як дорогий варіант міняти свічі на більш мудріші, які б підтримували мертву прив'язку мак адрес порт. Але свічі потрібно належно захистити...
Для мене ситуація є дивна локалка має бути апріорі DMZ. Візьміть підписи з кожного працівника про заборону зміни ІР, мак, ітд... щоб боялись, і Ви мали якесь підгрунтя говорити з начальством коли зловите цю заразу
Ну коли це не DMZ, а прохідний двір потрібні інші рішення: розбивку Вашої "локалки" на DMZ, або індивідуальний захист кожного компа: ІР тунелювання з шифруванням (ключі треба належно зберігати), аутентифікація на базі MAC - ІР -- неприйнятна потрібно перейти на user - password відповідно і змінити програмне забезпечення яке б забезпечувало такий доступ.
