Kontrola paru MAC-IP

[Zbyněk Burget]

Jaroslav Juha napsal(a):
> Zdravim, pratele,
> 

> Vse se chystam udelat pomoci IPFW (nebo by nekdo doproucil jine reseni?) a 
> prave zde jsem narazil na kontrole paru MAC-IP. Nejdrive jsem povolil 
> net.inet.ipfw 0>1, ale nefunguje mi prostup routerem, pokud zadam pravidla:
> 
> deny ip from any to any via jmeno_sitovky
> allow ip from ip_addr MAC mac_addr to any MAC any
> 

Nejsem si jist tim, jestli jsi pochopil, jak tecou packety skrz ipfw.
Zaprve - na to, aby do ipfw vstupovaly i v layer2 (misto, kde se da 
jeste precist MAC, je zapotrebi jeste nastavit
net.link.ether.ipfw=1

a v tomto okamziku bude packet prochazejici skrz router do ipfw vtupovat 4x.
1. v layer2 vstupni interface (mozna kontrola MAC)
2. v layer3 vstupni interface (neni mozna kontrola MAC)
3. v layer3 vystupni interface (neni mozna kontrola MAC)
4. v layer2 vystupni interface (mozna kontrola MAC)

ve vsech pripadech VZDY vyhrava prvni pravidlo, kteremu packet vyhovi. 
Ve tvem pripade
deny ip from any to any via jmeno_sitovky
odstreli veskery provoz jdouci skrz prislusny interface
Muj nazor je, ze pruchod packetu firewallem v layer2 vubec nepotrebujes. 
To, co chces udelat vyresis statickou arp tabulkou. Stale ti ale pak 
zustava problem v tom, ze v ipfw musis rozlisit smer chodu packteru 
firewallem a aktualni interface, na ktery / ze ktereho packet jde. Dobre 
si prostuduj man ipfw, je tam vse opravdu detailne a DOBRE popsano. Jen 
je potreba pochopit princip, jak to funguje, pak uz je to "brnkacka".

Zbynek