ipfw и фильтрацыя по МAC address

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
BaHJa
ефрейтор
Сообщения: 61
Зарегистрирован: 2008-08-17 18:56:14
Откуда: Ukraine, Ternopil
Контактная информация:

ipfw и фильтрацыя по МAC address

Непрочитанное сообщение BaHJa » 2008-11-07 0:55:01

у меня небольшая сеть и раздаю инет по макам, потомушто у меня пользователи не такие смышльоные штобы ево изменить,
ну и в ipfw добавил правила для филтрации по мак адресам, всьо устраивает но нужно штоб те у каво нет инета имели доступ к ресурсам сервера,
я добавил правлило ${FwCMD} 392 allow all from ${NetIn} to ${IpIn} layer2 via ${LanIn} оно работает если я закоментировал толькошто правило с мак адерсом юзера и соединение с сервером уже было, но после перезагрузки ево компа он не может больше установить соединение с сервером, сервер даже не пингуетса с тачки юзера, хотя до этово всьо работало. Подскажыте как можна решыть проблему.

Код: Выделить всё

FwCMD="ipfw -q add"            
LanOut="rl0"                  #zovnishnja sitkova
NetOut="xxxxxxx/xx"
IpOut="xxxxxxxxxx"       # zovnishnja ip
LanIn="sk0"                   
IpIn="192.168.0.1"
NetIn="192.168.0.0/24"        #setka
ip_lan="192.168.0"                             

${FwCMD} 200 skipto 410 ip from any to any not layer2
${FwCMD} 201 allow ip from any to any layer2 not via ${LanIn}
#user1
${FwCMD} 208 allow all from any to any mac any 00:1b:fc:0a:32:43 via ${LanIn}
#user2
${FwCMD} 209 allow all from any to any mac any 00:1b:1b:16:12:09 via ${LanIn}

${FwCMD} 392 allow all from ${NetIn} to ${IpIn} via ${LanIn}

${FwCMD} 401 deny all from any to any layer2 via ${LanIn}
дале стандарный набор правил

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение manefesto » 2008-11-07 8:58:24

Этого сокрального смысла я не понял.
${FwCMD} 200 skipto 410 ip from any to any not layer2
Сделай

Код: Выделить всё

allow from 192.168.1.0/24 to me via <интерфейс во внутреннюю сеть>
я такой яростный шо аж пиздеЦ
Изображение

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение paradox » 2008-11-07 9:50:54

как ты красиво изясняешься )))
Этого сокрального смысла я не понял

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение manefesto » 2008-11-07 11:25:40

ага...слово знакомое...смысла не ведаю =)
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение schizoid » 2008-11-07 11:54:56

Сакральное (лат. sacrum - священный предмет, священный обряд, таинства, мистерия), смысл раскрывается в соотношении с профанным.
:)
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение hizel » 2008-11-07 12:30:13

in via
out via
учитывать надо
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
BaHJa
ефрейтор
Сообщения: 61
Зарегистрирован: 2008-08-17 18:56:14
Откуда: Ukraine, Ternopil
Контактная информация:

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение BaHJa » 2008-11-07 18:59:07

allow from 192.168.1.0/24 to me via <интерфейс во внутреннюю сеть>
тоже самое сначала работает потом через несколько минут до сервера снова не достучатца
via in via out тоже не спасает

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение paradox » 2008-11-07 19:02:41

зачем себя так истязать?

юзерам сервер для какой задачи нужен?

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение arkan » 2008-11-07 20:07:12

Если честно я тоже с примерно таким же давно парюсь
предпочел создать ARP табличку (скриптик валяется гдето на опеннете)
ну и основная часть проблемм отпадает
но там есть какаято проблеммка типа или только для мак или для ип
вот как правильно это обьединить с IPFW я хбз но надеюсь что ктонить хотяб ссцылку кинет

Аватара пользователя
BaHJa
ефрейтор
Сообщения: 61
Зарегистрирован: 2008-08-17 18:56:14
Откуда: Ukraine, Ternopil
Контактная информация:

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение BaHJa » 2008-11-07 23:40:21

у меня небольшая сеть и я один сервер использую для всево, и как шлюз,фпт,веб,сквид,днс,дшсп итд. ну и я хочу штобы юзеры которые инет не берут могли хотябы заходить на веб,фпт,самбу сервера. На линуксе с мак фильтрацыей в Iptables всьо гуд было, а с Ipfw не сложылось.

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение maradona » 2008-11-08 0:01:33

для разрешения захода на твой сервер пиши правило вида:

Код: Выделить всё

$cmd add allow all from any to any MAC $same_pc $macserver
$cmd add allow all from any to any MAC $macserver $same_pc
два правила на один комп.

Аватара пользователя
BaHJa
ефрейтор
Сообщения: 61
Зарегистрирован: 2008-08-17 18:56:14
Откуда: Ukraine, Ternopil
Контактная информация:

Re: ipfw и фильтрацыя по МAC address

Непрочитанное сообщение BaHJa » 2008-11-24 2:12:45

Код: Выделить всё

$cmd add allow all from any to any MAC $same_pc $macserver
$cmd add allow all from any to any MAC $macserver $same_pc
не то што нужно, потомушто открываетса доступ к инету, а нужно штобы только к IP сервера,
заработала такая конфигурацыя

Код: Выделить всё

FwCMD="ipfw -q add"            
LanIn="sk0"                   
IpIn="192.168.0.1"
NetIn="192.168.0.0/24"        #setka
ip_lan="192.168.0"                             

${FwCMD} 200 skipto 410 ip from any to any not layer2
${FwCMD} 201 allow ip from any to any layer2 not via ${LanIn}
#мак внутриней сетевухи, без этого к серверу не достучатца
${FwCMD} 270 allow all from any to any mac any 00:у0:b2:7e:e1:78 via ${LanIn}
#Юзверям наоснове Мак включить инет
${FwCMD} 271 allow all from any to any mac any 00:a0:d2:8d:50:с5 via ${LanIn}
${FwCMD} 272 allow all from any to any mac any 00:a0:а1:8d:52:у9 via ${LanIn}
${FwCMD} 273 allow all from any to any mac any 00:a0:d1:8d:20:у0 via ${LanIn}

#это то што нужно было, перебросить эти правила черз deny, тем самым открыв доступ серверу 
${FwCMD} 392 skipto 402 ip from any to ${IpIn} layer2 in via ${LanIn}
#открыть некоторым пользователям доступ к ситинету провайдера
${FwCMD} 393 skipto 402 ip from ${IpLan}.44 to X.X.X.0/22 layer2 in via ${LanIn}

${FwCMD} 401 deny all from ${NetIn} to not ${NetIn} mac any any
${FwCMD} 402 allow ip from any to any layer2 via ${LanIn}
#дале стандартные правила
${FwCMD} 410 allow all from any to any via lo0
и тд.