Dotaz ohledne IPFW
Daniel Dvořák
daniel-dvorak at atlas.cz
Wed Sep 12 22:01:07 CEST 2007
Dotaz ohledne IPFW
*Dan Lukes* dan at obluda.cz
<mailto:users-l%40freebsd.cz?Subject=Dotaz%20ohledne%20IPFW&In-Reply-To=493.741-22427-416094478-1107040236%40seznam.cz>
/Sun Jan 30 10:38:55 CET 2005/
* Previous message: Dotaz ohledne IPFW
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/012277.html>
* Next message: S-ATA
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/012278.html>
* *Messages sorted by:* [ date ]
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/date.html#12280>
[ thread ]
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/thread.html#12280>
[ subject ]
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/subject.html#12280>
[ author ]
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/author.html#12280>
------------------------------------------------------------------------
Ladislav x wrote:
>/ tudiz jedina vec, ktera se "nemeni" (alespon u normalnich uzivatelu) je MAC adresa.
/...
>/ nejdriv budu muset dohledat dle MAC adresy IP pomoci NETSTATu a pak presmerovavat pomoci IP adres
/
No, jestli hodlate skutecne kvuli tomu zjistovani spoustet netstat, tak
to neustojite vykonove, nemluve o obrovskych latencich, ktere tim vyvolate.
Kdyz uz se chcete vrhnout timto smerem, tak to uz alespon pouzijte
routing socket (PF_ROUTE) a zmeny v tabulce si berte z nej (e.g.
udrzujte si prubezne vlastni kopii tabulky).
Ja si ale stale myslim, ze by pro vas bylo daleko snazsi tem nemennym
MAC proste pridelovat nemennou IP, to, ze si ji neprenastavi na jinou
hlidat statickymi zaznamy v ARP a pak smerovat podle cistych IP a o MAC
uz se nestarat. Nicmene, jen vy znate vsechny detaily site, zadani i
potreb, takze to si musite rozhodnout vy. To za vas nikdo externi udelat
nemuze.
Dan
------------------------------------------------------------------------
* Previous message: Dotaz ohledne IPFW
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/012277.html>
* Next message: S-ATA
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/012278.html>
* *Messages sorted by:* [ date ]
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/date.html#12280>
[ thread ]
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/thread.html#12280>
[ subject ]
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/subject.html#12280>
[ author ]
<http://www.freebsd.cz/listserv/archive/users-l/2005-January/author.html#12280>
------------------------------------------------------------------------
More information about the Users-l mailing list
<http://www.freebsd.cz/listserv/listinfo/users-l>
Ano, tak takto to delam taky jiz nekolik let. Wifi pristup hlidam
stejnym zpusobem navic pomoci mac listu a wpa-psk-tkip s maximalnim tedy
63 dlouhym vyrazem
(takova sit se proste necrakuje viz vahy vynalozene prostredky vs. zisk
z kreknuti). Kdyby nebylo toho mac listu a wpa-psk tak si nedelam iluze
a do mesice
se nejaky sikula na ulici najde co to proste jen tak zkusi, zkusi si
zmenit mac.
Nicmene o to tu nejde, nejde o prolomeni ochrany pomoci mac adres ale o
to jak to vlastne funguje. Cele ty roky jsem s tim byl spokojeny,
protoze implementovana
bezpecnost vzdy fungovala soude podle toho ze majitele odpojenych stanic
se druhy den ozyvali s tim ze "jim to nejede" a plus navic kdyz se neco
takoveho delo
tak kernel hlasil porad ze mac adresa takova makova se snazi modifikovat
nasi prednastavenou mac adresu pro odpojene ci nepridelene ip adresy v
staticke arp tabulcke.
No a dnes jsem k zdeseni zjistil ze ac pakety ze zakazane ip adresy
odchazeji a ta stanice se neskrtne, kernel hlasi pokus o modifikaci mac
adres tak kupodivu pravidla
v ipfw ktery jsem si napsal za ucelem zakazu trafficu ze zakazanych mac
adres maji ve sloupci pocet paketu a pocet bajtu celou tu dobu nulu. :)
Tak jak to teda funguje cely vlastne ? :D Vim ze to funguje ale proc v
ipfw jsou pak u tech pravidel (316 a 317) nuly tedy ?
Naopak pravidlo 65533-4 dnes doplnene mnou vesele pocita ac by nemelo
tedy pokud vec chapu dobre.
Nechtene ci nepridelene pary ip a mac adres oznacuji na strane mac adres
00:ff:00:ff:00:ff.
Tento dotaz specialne smeruji hlavne na Dana L. v reakci na to vlakno z
roku 2005 kde pise ze takle to dela i on.
S pozdravem
Dan
19:29:33.120198 IP 10.222.4.30.1025 > 10.222.0.4.53: 37330+ A?
login.icq.com. (31)
19:29:33.120897 IP 10.222.4.30.1025 > 10.222.0.4.53: 37330+ A?
login.icq.com. (31)
19:29:33.126124 IP 10.222.4.30.137 > 10.222.4.31.137: NBT UDP
PACKET(137): QUERY; REQUEST; BROADCAST
19:29:33.876411 IP 10.222.4.30.137 > 10.222.4.31.137: NBT UDP
PACKET(137): QUERY; REQUEST; BROADCAST
19:29:34.627461 IP 10.222.4.30.137 > 10.222.4.31.137: NBT UDP
PACKET(137): QUERY; REQUEST; BROADCAST
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00301 0 0 allow ip from X to Y proto tcp dst-port 80
00302 0 0 allow log logamount 100 tcp from any to X proto
tcp dst-port 22 in via ath0 limit src-addr 1
00303 0 0 deny log logamount 100 tcp from any to X proto
tcp dst-port 22 in via ath0
00310 0 0 deny log logamount 100 ip from any to X proto tcp
dst-port 80
00311 2 122 skipto 2000 log logamount 100 icmp from any to X
in via ath0
00312 0 0 deny log logamount 100 ip from any to X dst-port
2601,2604 in
00313 462 39386 skipto 316 ip from 10.222.0.0/16 to me dst-port
161 in
00314 0 0 skipto 316 ip from 10.222.0.0/16 to me dst-port
199 in
00315 0 0 deny log logamount 100 ip from any to me dst-port
161 in
00316 0 0 deny log logamount 100 ip from any to any MAC any
00:ff:00:ff:00:ff
00317 0 0 deny log logamount 100 ip from any to any MAC
00:ff:00:ff:00:ff any
00318 7 684 deny log logamount 100 ip from any to X
65533 281 17474 deny log logamount 100 ip from 10.222.4.30 to any
65534 3 466 deny log logamount 100 ip from any to 10.222.4.30
65535 798694 667691781 allow ip from any to any
# arp -i rl0 -a
?(10.222.4.30) at 00:ff:00:ff:00:ff on rl0 permanent [ethernet]
More information about the Users-l
mailing list