IPFW, zadani vice MAC adres

Dan Lukes dan at obluda.cz
Fri Nov 6 10:44:05 CET 2009


Břetislav Kubesa wrote:
> je mozne zadat do pravidla nize vice MAC adres ?

> ipfw deny allow ip from any to any MAC XX:XX:XX:XX:XX:XX any via rl0

Ta kombinace "deny allow" je asi nejaky omyl ...

Takze:

ipfw add allow ip from any to any \{ MAC 00:01:02:03:04:05 any or MAC 
00:01:02:03:04:06 any \} via rl0

Tech "or" tam muze byt vic.

> ipfw table 1 add MAC XX:XX:XX:XX:XX:XX  --> neco takoveho predpokladam 
> nelze

Predpokladas spravne.


> OT : Popr. muzete nekdo poradit fungujici registracni system, ktery pro 
> veskere neregistrovane adresy povoli pouze vychozi WWW rozhrani pro 
> registraci.

Mno, a ty predpokladas, ze uzivatel zvladne "ukrast" IP adresu, ale 
nezvladne ukrast MAC ? Neni to divny predpoklad ? Vzdyt se to nakonec 
nastavuje ve Woknech v tomtez okne ...

Pokud uzivatel zvladne ukrast oboji, pak to timhle zpusobem vubec 
nevyresis a nutne smerujes k 802.1x

Pokud nepokrade ani jedno, pak registrovanym prideluj DHCP adresu z 
nejakeho rozsahu (konstatni prirazeni MAC<->IP), neznamym z dynamickeho 
rozsahu a filtruj podle IP.

						Dan





More information about the Users-l mailing list