Kontrola paru MAC-IP
Zbyněk Burget
zburget at burgnet.cz
Tue Jan 8 13:29:24 CET 2008
Jaroslav Juha napsal(a):
> Zdravim, pratele,
>
> Vse se chystam udelat pomoci IPFW (nebo by nekdo doproucil jine reseni?) a
> prave zde jsem narazil na kontrole paru MAC-IP. Nejdrive jsem povolil
> net.inet.ipfw 0>1, ale nefunguje mi prostup routerem, pokud zadam pravidla:
>
> deny ip from any to any via jmeno_sitovky
> allow ip from ip_addr MAC mac_addr to any MAC any
>
Nejsem si jist tim, jestli jsi pochopil, jak tecou packety skrz ipfw.
Zaprve - na to, aby do ipfw vstupovaly i v layer2 (misto, kde se da
jeste precist MAC, je zapotrebi jeste nastavit
net.link.ether.ipfw=1
a v tomto okamziku bude packet prochazejici skrz router do ipfw vtupovat 4x.
1. v layer2 vstupni interface (mozna kontrola MAC)
2. v layer3 vstupni interface (neni mozna kontrola MAC)
3. v layer3 vystupni interface (neni mozna kontrola MAC)
4. v layer2 vystupni interface (mozna kontrola MAC)
ve vsech pripadech VZDY vyhrava prvni pravidlo, kteremu packet vyhovi.
Ve tvem pripade
deny ip from any to any via jmeno_sitovky
odstreli veskery provoz jdouci skrz prislusny interface
Muj nazor je, ze pruchod packetu firewallem v layer2 vubec nepotrebujes.
To, co chces udelat vyresis statickou arp tabulkou. Stale ti ale pak
zustava problem v tom, ze v ipfw musis rozlisit smer chodu packteru
firewallem a aktualni interface, na ktery / ze ktereho packet jde. Dobre
si prostuduj man ipfw, je tam vse opravdu detailne a DOBRE popsano. Jen
je potreba pochopit princip, jak to funguje, pak uz je to "brnkacka".
Zbynek
More information about the Users-l
mailing list