Dotaz ohledne IPFW
Dan Lukes
dan at obluda.cz
Sat Jan 29 11:56:19 CET 2005
Ladislav x wrote:
> Potreboval bych presmerovat trafik podle MAC adresy.
> Zkousel jsem pravidlo:
> ipfw add fwd 10.24.28.193,80 all from any to any 80 MAC any
> 00:04:75:B6:31:63
>
> sice ipfw vezme jako spravne a prida do sve tabulky filtrovacich
> pravidel, ale pravidlo nefunguje.
> podle MAC adres. Vedel by mi nekdo poradit zda to funguje a co delam
> spatne?
Ono to neni tak uplne jednoduche na vysvetleni, pokud nejste ani trochu
seznamem s tim, jak vlastne pakety po kernelu cestuji.
Ono je to v manualove strance od IPFW v potrebne mire popsane - ale
pokud jste "pole neorane" pak neni zrejme, jestli je ten vyklad
dostatecne polopaticky.
Zpracovany paket "vstupuje" do do firewallu az ctyrikrat - a ctyrikrat
se tedy vyhodnocuji pravidla.
V manualu vam vysvetluji, ze v ruznych fazich zpracovani paketu jsou k
dispozici ruzne informace.
Napriklad ve vstupnich dvou zpracovanich jeste neni znam odchozi
interface (protoze routovacim jadrem, ktere ho vybere, paket jeste
neprosel). Na IP urovni pak, pro zmenu, neni k dispozici MAC.
A tomu se pri psani pravidel musite prizpusobit.
O cem uz manual tak zretelne nemluvi - snad proto, ze predpoklada, ze
"to je jasne" je to, ze v ruznych fazich jsou take k dispozici jen
nektere akce.
Bohuzel, na urovni druhe vrstvy neni mozne urcit "next-hop" IP adresu
paketu - a tedy nelze pouzit FWD
Soucasne vsak - test na MAC neni dostupny nikde jinde, nez ve druhe vrstve.
Celkove tedy - tento set podminek a akci se proste navzajem vylucuje.
Paket proste nemuze byt forwardovan na zaklade MAC.
**************************
No a ted co s tim - no, nevyzaduje to zas tak dlouhe zamysleni -
forwardujte ho podle IP. Jestli jste forwardovani podle MAC vymyslel
proto, ze se domnivate, ze MAC se hure meni (neni to pravda, ale nebudu
vam to vymlouvat), dobra, pak nejprve overte, ze kombinace MAC a IP
"sedi" (tedy tu IP neukradl nekdo neopravneny) - a pak forwardujte podle IP.
I zminene overeni lze delat pomoci IPFW, ale je otazka, zda v tomto
pripade neni dostacujici a vhodnejsi reseni staticka ARP.
Dan Lukes
More information about the Users-l
mailing list