ipfw MAC and IP

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Ответить
Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

ipfw MAC and IP

Непрочитанное сообщение fox » 2012-09-04 17:22:10

Доброе время Суток.
Подскажите пожалуйста, кто знает. Есть сигмент сети где необходимо контролировать что бы юзверы не меняли IP, то есть связка MAC и IP, но честно говоря как работает MAC и ipfw я не понимаю, запутался... Подскажите покажите сампл any to 192.168.1.1 00:00:00:00:00:01 via test0. Что то вроде этого куда угодно выйти только при условии если ip связан c MAC и интерфейсом.
Мой мозг спёкся...
Последний раз редактировалось f_andrey 2012-09-04 18:38:51, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Да пребудет с нами сила!!!
Всех убью, один останусь!
Вернуться к началу
Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Вернуться к началу
Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: ipfw MAC and IP

Непрочитанное сообщение FreeBSP » 2012-09-04 17:43:44

взгляни на arpwatch
а про mac предлагаю покурить вместе
man ipfw
общий формат правила:
RULE FORMAT
The format of firewall rules is the following:

[rule_number] [set set_number] [prob match_probability] action
[log [logamount number]] [altq queue] [{tag | untag} number] body
посмотрим что формально может быть в теле правила:
The rule body has the following format:

[proto from src to dst] [options]

The first part (proto from src to dst) is for backward compatibility with
earlier versions of FreeBSD. In modern FreeBSD any match pattern
(including MAC headers, IP protocols, addresses and ports) can be speci-
fied in the options section.
значит мак мона указывать в части options идем курить options
RULE OPTIONS (MATCH PATTERNS)
Additional match patterns can be used within rules. Zero or more of
these so-called options can be present in a rule, optionally prefixed by
the not operand, and possibly grouped into or-blocks.

The following match patterns can be used (listed in alphabetical order):

...

{ MAC | mac } dst-mac src-mac
Match packets with a given dst-mac and src-mac addresses, speci-
fied as the any keyword (matching any MAC address), or six groups
of hex digits separated by colons, and optionally followed by a
mask indicating the significant bits. The mask may be specified
using either of the following methods:

1. A slash (/) followed by the number of significant bits.
For example, an address with 33 significant bits could be
specified as:

MAC 10:20:30:40:50:60/33 any

2. An ampersand (&) followed by a bitmask specified as six
groups of hex digits separated by colons. For example,
an address in which the last 16 bits are significant
could be specified as:

MAC 10:20:30:40:50:60&00:00:00:00:ff:ff any

Note that the ampersand character has a special meaning
in many shells and should generally be escaped.

Note that the order of MAC addresses (destination first, source
second) is the same as on the wire, but the opposite of the one
used for IP addresses.

mac-type mac-type
Matches packets whose Ethernet Type field corresponds to one of
those specified as argument. mac-type is specified in the same
way as port numbers (i.e., one or more comma-separated single
values or ranges). You can use symbolic names for known values
such as vlan, ipv4, ipv6. Values can be entered as decimal or
hexadecimal (if prefixed by 0x), and they are always printed as
hexadecimal (unless the -N option is used, in which case symbolic
resolution will be attempted).
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Вернуться к началу
Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: ipfw MAC and IP

Непрочитанное сообщение FreeBSP » 2012-09-04 17:50:30

fox писал(а):Подскажите покажите сампл any to 192.168.1.1 00:00:00:00:00:01 via test0. Что то вроде этого куда угодно выйти только при условии если ip связан c MAC и интерфейсом.
Мой мозг спёкся...
тоесть по идее должно быть так:

Код: Выделить всё

ipfw add allow ip from any to 192.168.1.1 mac 00:00:00:00:00:01 any out via test0
разрешает ip выходить через test0 от кого угодно для 192.168.1.1 если:
мак назначения 00:00:00:00:00:01
мак источника любой (фтн)
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Вернуться к началу
risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: ipfw MAC and IP

Непрочитанное сообщение risk94 » 2012-09-07 15:36:39

Разобрать фаервол эт хорошо, но в идеальном случае вам нужны левел2 свитчи и привязка ip-port (ip-mac-port)
Так как MAC-адрес заспуфить - 5 минут делов.
Вернуться к началу