Как заблокировать МАС-адрес другой подсети?
 

Задача! Нужно в прокси сервере настроить авторизацию по МАС адресу. Вопрос!!! Как можно блокировать МАС адрес компьютера который находится в другой подсети в Linux? В Windows например. получается фильтрация через программу CCPROXY если даже компьютер находится в другой подсети. A в Linux Squid, iptables не могут блокировать по МАС адресу, если компьютер находится в другой подсети, они блокируют компьютеры с другой подсети только по IP.

Пример:
1 - 192.168.5.1/24 192.168.5.250(Gateway - Маршрутизатор) Proxy Server
2 - 192.168.5.2/24 192.168.5.250(Gateway - Маршрутизатор) Client B
3 - 192.168.6.2/24 192.168.6.250(Gateway - Маршрутизатор) Client C

Прокси сервер блокирует клинта В по МАС адресу без проблем, потому что клиент В находится в одной подсети с прокси сервером.
Прокси сервер не может блокирует клинта С по МАС адресу, потому что клиент С находится в другой подсети с прокси сервером.
Самое странное в Windows ISA server, CCPROXY фильтрирует клиента по МАС, а в Линуксе я не могу найти решение!Пожалуйста помогите !!!

P.S.
В документациях Squid написано, что он не может блокировать MAC адрес другой подсети. На форумах читал, что iptables тоже не может блокировать MAC адрес другой подсети. На практике проверил, что эти программы реально не могут блокировать MAC адрес другой подсети(по крайнем мере у меня). А в Windows 2-3 программы реально блокируют MAC другой подсети. В Windows блокировка получается, значить в самой сети что-то перенастроить по поэму не нужно. Только найти решение в Linux для того, чтобы блокировать MAC адрес клиента, который находится в другом сегменте сети. Пробовал arptables, ebtables все равно не помогло. Сетевиками общался, они говорят что маршрутизатор пропускает MAC адрес клиента с его IP адресом. Если не пропускал бы, то тогда как все это в Windows работает? В Linux есть ли на это решение? Пожалуйста дайте варианты!

а не покажите, как вы блокируете MAC в ISA? =)
а главное, как вы его получаете, из другой то сети?

Вы думаете через маршрутизатор не проходить MAC адрес отправителя?

а вы думаете по-другому?

Как Вам уже совершенно справедливо заметила уважаемая cameron, никак нельзя. Ни в Windows. ни в Linux, ни в какой другой ОС.
MAC-адреса передаются только в пределах одного сегмента. Если не верите, посмотрите arp-кэш на любом компьютере - там окаэутся только адреса компьютров этого сегмента (включая сегменты объединенные сетевым мостом, разумеется).

Я тоже много читал и на практике проверил по поводу этого(что не проходить MAC через маршрутизатор), но тогда в Windows программа CCProxy как фильтрует клиентов по MAC адресу?
Потом какие варианты есть в Linux чтобы клиенты авторизовались или отфильтровывались по MAC? A то они могут менять IP и сидеть в Интернете. Пожалуйста, не предлагать прописать в коммутаторе IP на MAC, слишком большая сеть и клиентов много(слишком трудоёмкая работа). Авторизация по паролю тоже не пойдет.
arptables или ebtables не поможет в моем случае.
P.S.
Ведь в больших организациях как-то решают же такие проблемы с сетью сложной структурой.

Маркировать соединение на шлюзе?

не по MAC адресу.
я думаю, что кроме некоторых ISP, это вообще никто не использует.

Фильтрация по MAC - только в пределах одного ethernet-сегмента.
Аутентификация по MAC убога. MAC, если вспомнить, спокойно меняется прямо в операционке. Это привязка к машине, а должна быть привязка к пользователю, по идее.
Посему клиентов авторизовывать на выход либо на низком уровне (с тем самым нелюбимым прописыванием прописыванием IP/MAC на свитчах), либо на высоком - сертификаты/пароли на проксе.

Кривым, но в какой-то мере действенным методом для небольших сетей около 100 абонов является поднятие ppp/pppoe сервера. Плюсы: учёт всего и разного трафика, нет необходимости настройки каждого клиента(программы) на прокси, привязка к аккаунту юзеря, а не машине.