filtrovanie podla IP a MAC
icovnik
icovnik at gmail.com
Fri Mar 26 00:30:23 CET 2010
2010/3/25 Zbyněk Burget <zburget at burgnet.cz>:
> Dne 25.3.2010 16:03, icovnik napsal(a):
>> Snazim sa vyrobit firewall na FreeBSD 7.2, ktory by filtroval, resp.
>> pustal pakety na zaklade spravnej kombinacie IP a MAC adries.
>
> Tohle ovsem neni standardne ukol pro firewall.
> Uz to zde zaznelo, jen to upresnim - bude te zajimat STATICKA arp tabulka.
Nie, toto mi nepomoze, vysvetlim nizsie.
> Nutit firewall, aby ti filtroval spravne pary IP/MAC by zbytecne
> komplikovalo konfiguraci jakehokoli firewallu a prodluzovalo dobu pruchodu
> packteu firewallem.
Hej, so zlozitostou ratam a nevadi mi, cele nastavenie by sa mi
vyrabalo z nejakeho textaku s popisom, ktora IP ma mat aku MAC adresu.
Run-time narocnost je zaujimavejsia, ale take zle to hadam nebude.
Hocijaky dnesny pocitac musi zvladnut firewall s 500 pravidlami pri
100 mbit/s lavou zadnou.
> Opravdu bych zvazil, jestli ti staticka arp tabulka nebude zivot spis
> komplikovat, nez aby ti prinesla nejaky vaznejsi uzitek.
Ako som napisal vyssie, staticka ARP tabulka mi vobec neriesi problem,
skor vyraba novy. Ak si totiz niekto zmeni IPcku, tak sa ani nemusi
dopingat na router a to povazujem za chybu. Router by teda nemal mat
staticku ARP tabulku, len by mal pustat spravne nastavene kompy.
Aby som vysvetlil, co sa snazim urobit. Mam LANku pripojenu na net.
Pocitace uzivatelov na vnutornej strane neviem ovplyvnit, maju windoze
a kazdu chvilu si pokazia nastavenia atd. Ked maju nastavenia spravne,
tak maju "svoju" MAC a IP adresu. Tychto firewall bez problemov pusti
do netu. Ked vsak niekto zacne vymyslat, menit si IPcky a robit IP
konflikty, tak ho firewall do netu nepusti, navyse vsetky jeho HTTP
requesty forwardne na moj server, ktory mu vrati stranku, ze ma zle
nastavenia.
Ak su aj sikovni ludia, ktori si vedia zmenit MAC tak, aby im to
fungovalo, tak a) je ich malo a az tak ma to nezaujima a b) ak ich
bude vela, zastavia ich ACL na switchoch.
Uz len dodam, ze tento setup mi funguje na linuxe, ale som nuteny v
tomto pripade pouzit FreeBSD (a som v nom lama). Dufam vsak, ze
podobne veci uz museli predo mnou riesit aj ini ludia a preto by to
malo byt mozne. Ako som napisal v prvom maili, napr. na OpenBSD sa to
da obist oznacovanim paketov cez pravidla pre 2. vrstvu. Pre
zaujimavost, na linuxe to robim zhruba takto (neberte to ako
provokaciu ;-), len sa snazim vysvetlit, co chcem dosiahnut):
lan=eth1
iptables -A PREROUTING -t nat -i $lan -s $ip -m mac --mac-source $mac -j ACCEPT
# predosly riadok opakuj pre vsetkych hostov
iptables -A PREROUTING -t nat -i $lan -p tcp --dport 80 -j DNAT
--to-destination $proxy
iptables -A FORWARD -i $lan -s $ip -m mac --mac-source $mac -j ACCEPT
# predosly riadok opakuj pre vsetkych hostov
iptables -A FORWARD -i $lan -j DROP
Vdaka za rady
ico
More information about the Users-l
mailing list