[ipfw] Mac

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: [ipfw] Mac

Непрочитанное сообщение hizel » 2010-09-10 11:03:59

ну правильно, так и должно быть

Код: Выделить всё

man ipfw 
до просветления
как тест:

Код: Выделить всё

ipfw add 1 allow ip from any to any layer2
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2486
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: [ipfw] Mac

Непрочитанное сообщение skeletor » 2010-09-10 14:14:09

Так тут дело не в файерволе, а в squid'e, так как он блочит! Видимо собрал squid с поддержкой MAC, но не описал в нём использования MAC'ов.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: [ipfw] Mac

Непрочитанное сообщение hizel » 2010-09-10 15:54:49

а как опция которая относится к ipfw может влиять на squid? squid не привязан к конкретному фаерволу. логику включите
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
skeletor
майор
Сообщения: 2486
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: [ipfw] Mac

Непрочитанное сообщение skeletor » 2010-09-10 17:24:35

Вот и я не знаю. А как может это включение влиять на то, что сайты блочаться именно squid'ом? Причём тут ipfw?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Shuriks
проходил мимо

Re: [ipfw] Mac

Непрочитанное сообщение Shuriks » 2010-09-12 17:26:56

Если я правильно понял сообщение http://forum.lissyara.su/viewtopic.php? ... 60#p206711 , то пакеты попадают в ipfw еще и на канальном уровне, для которого у тебя нет разрешающих правил. Но в конце очевидно есть deny all from any to any, под которое попадают пакеты в том числе и на канальном уровне. Соответственно блокируется все.

Аватара пользователя
skeletor
майор
Сообщения: 2486
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: [ipfw] Mac

Непрочитанное сообщение skeletor » 2010-09-13 10:53:44

Ну ведь тогда бы в браузере отображалось "Невозможно отобразить страницу", а не "Access Debied y squid". Верно?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

ges35
рядовой
Сообщения: 11
Зарегистрирован: 2011-05-16 11:35:01

Re: [ipfw] Mac

Непрочитанное сообщение ges35 » 2011-05-18 7:19:24

Добрый день есть вопрос по фильтрации mac адресов, надеюсь здесь помогут
стоит freebsd 8.1 ipfw настроен по ip все работает, конфиг рабочий
далее вот по этой статье разбирался и делал
http://www.opennet.ru/openforum/vsluhfo ... 03.html#27
как там написанно все сделал

Код: Выделить всё

sysctl net.link.ether.ipfw=1

${ipfw} 1 add skipto 100 ip from any to any not layer2
${ipfw} 5 add allow ip from any to any layer2 not via fxp0
${ipfw} 10 add skipto 40 ip from 192.168.50.33 to any layer2 in via fxp0
${ipfw} 20 add deny ip from ${my_net} to any mac any 00:0e:a6:45:0b:d4  in via fxp0
${ipfw} 40 add allow  ip from any to any layer2 via fxp0 

и даже все заработало но тут получается все равно привязка к IP.
У меня задача фильтровать по mac таким образом:
в сети dhcp по этому ip выдаются случайным образом и назначать не хотелось бы, у всех настроены основные правила ipfw, а есть как обычно пользователи у которых компы необычные и им надо выходить в обход правил, и разрешить все.
Вопрос: как построить правила так чтобы была фильтрация по mac но без привязки к ip
из моих экспериментов на сколько я понял правило

Код: Выделить всё

add allow ip from ${my_net} to any mac any 00:0e:a6:45:0b:d4  in via fxp0
и даже такое

Код: Выделить всё

add allow ip from ${my_net} to any mac any 00:0e:a6:45:0b:d4
только разрешает этот мак но пропускать его не может ,надо переводить в фильтрацию по ip и дальше пускать по правилам, что и делает правило

Код: Выделить всё

${ipfw} 40 add allow  ip from any to any layer2 via fxp0
но оно ставит пакет снова в начало очереди, те пускает по стандартным правилам, как запустить в обход этих правил, по спец правилам типа any to any

ges35
рядовой
Сообщения: 11
Зарегистрирован: 2011-05-16 11:35:01

Re: [ipfw] Mac

Непрочитанное сообщение ges35 » 2011-05-29 18:15:35

Что никто не знает как такое сделать?

Аватара пользователя
MASiK
лейтенант
Сообщения: 625
Зарегистрирован: 2008-09-19 20:09:41
Откуда: Оттуда
Контактная информация:

Re: [ipfw] Mac

Непрочитанное сообщение MASiK » 2011-05-30 0:11:26

Вау ) А маки всем интересны я смотрю )))

Народ тока не забываем что чем жирнее ФаэрВол тем медленнее инет, а тут у нас пакет мы гоняем аж 4 раза! Я от этого варианта ушёл, так как это сложновато получается для людей не понимающих, и любой ИП можно просто привязать к маку и будет вам крутая система безопасности

2ges35


А у тебя я не понял вопроса ты пишешь что делаешь skipto и в тоже время не понимаешь как обойти какие либо правила, или я не понял вопроса или ты не понял как работает skipto...
Самурай

ges35
рядовой
Сообщения: 11
Зарегистрирован: 2011-05-16 11:35:01

Re: [ipfw] Mac

Непрочитанное сообщение ges35 » 2011-06-08 4:31:58

skipto перебрасывает на нужное правило , это понятно, как сделать чтобы не было привязки к ip, надо чтобы фильтровал только по маку, например разрешить все mac:00:0e:a6:45:0b:d4 и неважно какой у него будет ip.

Аватара пользователя
ss25
мл. сержант
Сообщения: 81
Зарегистрирован: 2009-06-18 23:34:09

Re: [ipfw] Mac

Непрочитанное сообщение ss25 » 2013-01-08 13:30:38

Апну темку поскольку столкнулся с надобность разрешать по мак адресам.

Есть настроенный ipfw уже с правилами но под ип адреса хочу теперь прикрутить и маки.
Про то что трафик проходит 4 раза через правила знаю и что net.link.ether.ipfw=1 нужно тоже.
В такой конфигурации работает но куда писать правила для разрешения по мак адресам и в каком порядке не могу понять.

Нужно 192.168.0.5/32 00:02:b3:b9:8c:ce/48 пропускать через нат остальным запретить пользоваться натом но при этом оставить доступ к самому серверу.

Код: Выделить всё

#!/bin/sh
FwCMD="/sbin/ipfw"
LanOut="alc0"
LanIn="fxp0"

IpOut="00000000"
NetOut="111111111"
NetOutMask="29"

IpIn="192.168.0.1"
NetIn="192.168.0.0"
NetInMask="16"

${FwCMD} -f flush

${FwCMD} add 10 skipto 4000 all from any to any layer2 in
${FwCMD} add 20 skipto 100 all from any to any not layer2 in
${FwCMD} add 30 skipto 100 all from any to any not layer2 out
${FwCMD} add 40 skipto 6000 all from any to any layer2 out

${FwCMD} add 00100 check-state

${FwCMD} add 00110 allow log logamount 100 ip from any to any via lo0

${FwCMD} add 00120 allow log logamount 100 ip from any to any via ${LanIn}

${FwCMD} add 00130 allow log logamount 100 tcp from ${NetOut}/${NetOutMask} to ${IpOut} established
${FwCMD} add 00131 allow log logamount 100 tcp from ${IpOut} to ${NetOut}/${NetOutMask} established

${FwCMD} add 00201 allow log logamount 100 tcp from any to ${IpOut} 2112 via ${LanOut} keep-state
${FwCMD} add 00202 allow log logamount 100 tcp from any to ${IpOut} 2332 via ${LanOut} keep-state

${FwCMD} add 00303 allow log logamount 100 tcp from ${NetOut}/${NetOutMask} to ${IpOut} 5900 via ${LanOut} keep-state

${FwCMD} nat 1 config ip ${IpOut} log reset same_ports deny_in

${FwCMD} add 00400 nat 1 log logamount 100 ip from any to ${IpOut} in recv ${LanOut}
${FwCMD} add 00410 nat 1 log logamount 100 ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add 00450 nat 1 log logamount 100 ip from 192.168.0.5/32 to any out xmit ${LanOut}

${FwCMD} add 5000 allow log logamount 100 all from any to any layer2 in
${FwCMD} add 6000 allow log logamount 100 all from any to any layer2 out

${FwCMD} add 65534 deny log logamount 100 all from any to any