Хочу закрыть доступ в интернет по МАС адресу

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
PSdok
ст. сержант
Сообщения: 359
Зарегистрирован: 2006-10-05 18:27:56
Откуда: Нижний НОвгород

Хочу закрыть доступ в интернет по МАС адресу

Непрочитанное сообщение PSdok » 2007-02-21 20:15:59

Пытаюсь определенному МАС адресу запрелить выход в интернет
# sysctl net.link.ether.ipfw=1
# ipfw add deny ip from any to any mac 0:17:31:db:ce:2b
но вылетает ошибка

ipfw: MAC dst src

что не так делать?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Din
рядовой
Сообщения: 21
Зарегистрирован: 2006-08-02 22:40:41
Откуда: РБ, Минск

Непрочитанное сообщение Din » 2007-02-22 8:45:54

Код: Выделить всё


// firewall.rules

add 10 allow ip from any to any via lo0
// allow any traffic to bridge ip
add 20 allow ip from any to me
add 20 allow ip from me to any

////add 50 allow ip from any to any

// ethernet level control
add 100 skipto 30000 ip from any to any not layer2
//add 1000 deny ip from 10.16.80.2 to any not mac src-mac 4c:00:10:74:0b:f3 via rl0
//add 1000 allow ip from 10.16.80.2 to any mac src-mac 4c:00:10:74:0b:f3
add 1000 allow mac-type arp
//add 1000 allow ip from 10.16.80.80 to any mac any 00:04:61:ab:e3:8a
//add 1000 allow ip from any to 10.16.80.80 mac 00:04:61:ab:e3:8a any
//add 1000 allow ip from any to any mac 00:04:61:ab:e3:8a any
//add 1000 allow ip from any to any mac any 00:04:61:ab:e3:8a

// place for automaticly generated rules (10000-20000)
//
//

// allow all ethernet traffic by default
add 25100 allow ip from any to any layer2 
////add 25100 allow ip from any to any via rl0 layer2 
////add 25200 allow ip from any to any via rl1 layer2 
////add 25300 allow ip from any to any via rl2 layer2 

// ip level control

add 31100 allow ip from any to any
////add 31100 allow ip from any to any via rl0
////add 31200 allow ip from any to any via rl1
////add 31300 allow ip from any to any via rl2

 
вот строка привязки
//add 1000 allow ip from 10.16.80.80 to any mac any 00:04:61:ab:e3:8a
//add 1000 allow ip from any to 10.16.80.80 mac 00:04:61:ab:e3:8a any

 
вместо строки
add 25100 allow ip from any to any layer2 
ставишь
add 25100 deny ip from any to any layer2 
и враг не пройдет

это мне кидали как пример но я думаю всё понятно
Берегите интернет, он у нас один такой :)

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-02-22 11:38:57

Можно ARP соответствие сделать IP - ТВОЙ MAC
к примеру у тебя:

Код: Выделить всё

192.168.2.187 00:c0:26:a7:87:61
Делаешь ip-адрес какой-нибудь 10.10.10.10 и тот же мас. Х куда выйдет. :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.