Запрет по MAC

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
юлий
проходил мимо

Запрет по MAC

Непрочитанное сообщение юлий » 2015-03-26 9:04:52

Всем доброе утро.
Как правильно сделать.
Шлюз на Freebsd + ipfw+ kernal nat + squid
в сети есть парочка устройств которые я хочу чисто по MAC запретить выход на ружу, т.е. что бы в локалке он могли спокойно ходить, а досутп в инет заблочить полностью.
em0 - инет
em1 - локалка

как правильно на ipfw это можно сделать?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Запрет по MAC

Непрочитанное сообщение skeletor » 2015-03-26 11:21:07

Есть несколько вариантов:
1) в DHCP этому MACy зарезервировать IP, который банить в IPFW.
2) ipfw+MAC+deny
3) squid+MAC acl+deny
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
Alpha
рядовой
Сообщения: 14
Зарегистрирован: 2015-03-24 17:27:02

Запрет по MAC

Непрочитанное сообщение Alpha » 2015-03-26 13:51:25

В /etc/sysctl.conf включаем поддержку езернета для фаерволла net.link.ether.ipfw=1

И тогда будут работать правила типа:

$cmd 00101 deny mac 14:da:e9:43:95:93 any via $fe1

юлий
проходил мимо

Запрет по MAC

Непрочитанное сообщение юлий » 2015-03-26 17:28:38

Alpha писал(а):В /etc/sysctl.conf включаем поддержку езернета для фаерволла net.link.ether.ipfw=1

И тогда будут работать правила типа:

$cmd 00101 deny mac 14:da:e9:43:95:93 any via $fe1

то есть это правило будет в локалке давать ему работать, а в инет не пускать?

Аватара пользователя
Alpha
рядовой
Сообщения: 14
Зарегистрирован: 2015-03-24 17:27:02

Запрет по MAC

Непрочитанное сообщение Alpha » 2015-03-26 17:37:58

Это пример правила. Если его применить на нате, то да, в локалке конечно будет работать, в инет выходить не будет через этот шлюз.