The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Улучшена поддержка таблиц в при фильтрации по MAC адресам в ipfw2

24.11.2008 12:22

"ipfw: layer2 lookup tables" - Gleb Kurtsou улучшил поддержку таблиц в при фильтрации по MAC адресам в ipfw2. Например, стало возможно привязывать mac адрес к IP подсети, расширены возможности использования таблиц, например:


ipfw table 1 add 192.168.1.0/24 ether 00:11:11:11:11:11
ipfw table 1 add 192.168.1.0/24 ether 00:22:22:22:22:22
ipfw table 1 add 192.168.1.0/24 ether 00:33:33:33:33:33

# equivalent to: ipfw table 2 add any ether ...
ipfw table 2 add ether 00:11:11:11:11:11
ipfw table 2 add ether 00:22:22:22:22:22
ipfw table 2 add ether 00:33:33:33:33:33
ipfw table 2 add ether ff:ff:ff:ff:ff:ff

ipfw add 1000 allow ip from 'table(2)' to 'table(2)' layer2

# layer3
ipfw add 2000 allow ip from 'table(1)' to 'table(1)'



  1. Главная ссылка к новости (http://blogs.freebsdish.org/gl...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/19058-ipfw
Ключевые слова: ipfw, mac, arp, freebsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Осторожный (ok), 13:58, 24/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше бы новый pf портировали из OpenBSD
    И вставили туда поддержку MAC ;)
     
     
  • 2.2, RapteR (ok), 14:22, 24/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так и сидите в OpenBSD, кто мешает то?)
     
     
  • 3.4, PereresusNeVlezaetBuggy (ok), 14:54, 24/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так не всем нравится. Да и другие ограничения бывают: например, я ещё не видел, чтобы кто-то смог завести Oracle по опёнком. :(
     
  • 2.13, Gleb Kurtsou (?), 23:49, 17/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Поддержка MAC'ов к pf уже тоже давно прикручена.
     

  • 1.3, PereresusNeVlezaetBuggy (ok), 14:53, 24/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой) и фильтровать, как и все нормальный люди, по IP? Всё-таки не стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)
     
     
  • 2.5, RapteR (ok), 14:56, 24/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой)
    >и фильтровать, как и все нормальный люди, по IP? Всё-таки не
    >стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)

    я злой вася пупкин, очень продвинутый юзер. взял и отключил у себя дхцп клиента и прописал ручками себе ип. что дальше? тем более не надо так узко рассматривать таблицы маков только как средство для контролера за машинками в локалке.

     
     
  • 3.6, PereresusNeVlezaetBuggy (ok), 15:33, 24/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой)
    >>и фильтровать, как и все нормальный люди, по IP? Всё-таки не
    >>стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)
    >
    >я злой вася пупкин, очень продвинутый юзер. взял и отключил у себя
    >дхцп клиента и прописал ручками себе ип. что дальше? тем более
    >не надо так узко рассматривать таблицы маков только как средство для
    >контролера за машинками в локалке.

    А я - злой Вася Скалкин, взял да и поменял MAC на сетевухе.

    Читайте внимательнее, пожалуйста, речи о том, что данное решение можно использовать как полноценную защиту, не было.

     
     
  • 4.7, RapteR (ok), 17:57, 24/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    все равно нафиг не нужен в данном случае DHCP - зачем мне систему грузить лишними демонами, если ipfw все сам умеет, тем более это удобно использовать для сбора статистики втыкая груба говоря в разрыв кабеля такой прозрачный шлюз и по макам группировать трафик...
     
     
  • 5.8, PereresusNeVlezaetBuggy (ok), 18:04, 24/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >все равно нафиг не нужен в данном случае DHCP - зачем мне
    >систему грузить лишними демонами, если ipfw все сам умеет, тем более
    >это удобно использовать для сбора статистики втыкая груба говоря в разрыв
    >кабеля такой прозрачный шлюз и по макам группировать трафик...

    Ну, если dhcpd - это очень большая нагрузка на систему... ;) Хотя, возможно, в каком-то экстремальном случае (типа совсем-совсем embedded) это может быть оправдано, согласен.

    А вот шлюз может прекрасно фильтровать по IP. Более того, таких решений намного больше. И удобнее это делать по IP, т.к. можно оперировать подсетями или просто блоками адресов. Например: блок 192.168.5/24 - бухгалтерия, блок 192.168.6/24 - продав... сорри, манагеры:) и т.д.

    И повторю свой тезис: не стоит мешать уровни OSI...

     
     
  • 6.9, RapteR (ok), 18:14, 24/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >И повторю свой тезис: не стоит мешать уровни OSI...

    Ну в там случае использовать железячный МАК логичнее...

     
     
  • 7.11, PereresusNeVlezaetBuggy (ok), 18:39, 24/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>И повторю свой тезис: не стоит мешать уровни OSI...
    >
    >Ну в там случае использовать железячный МАК логичнее...

    Если речь идёт об одном сегменте сети, то да. Правда, не могу придумать ни одного случая подобной необходимости. Если же речь идёт о логической адресации (когда не хочется забивать себе голову тем, сколько свичей стоит между маршрутизатором и хостом), то это уже, очевидно, вотчина 3-го уровня.

     
  • 5.10, SunRock (?), 18:33, 24/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Угу - есть ещё дебилы в самых отдалённых местечках таймырской тайги, которые IP-шники по ярангам раздают ручками с записью в тетрадке или ехеле ... народ из побаивается и кличет шаманами. 8-\
     
     
  • 6.12, Gleb Kurtsou (?), 23:47, 17/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Угу. А есть еще дебилы-провайдеры которые привязывают пользователя к маку и секъюрити здесь не причем. У вас в тайге наверное таких еще нет.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру