ipfw mac-type vlan

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
question
проходил мимо
Сообщения: 4
Зарегистрирован: 2016-03-27 23:58:31

ipfw mac-type vlan

Непрочитанное сообщение question » 2016-03-28 0:25:47

Следующая ситуация: шлюз на FreeBSD 10.2, локалка с vlan'ами, ipfw2, фильтрация по layer2.
Есть интерфейс sk1, без IP-адреса, на котором поднято с десяток vlan'ов, пытаюсь настроить на интерфейсе фильтр, который пропустит только пакеты, имеющие метки 802.Q1.
Добавил правило:

Код: Выделить всё

allow ip from any to any MAC any any mac-type vlan via sk1
Ни один пакет не совпадает, хотя tcpdump показывает, что поле типа содержит 0x8100, как и должно быть.
При этом с правилом

Код: Выделить всё

allow ip from any to any MAC any any mac-type ipv4 via sk1
пакеты, обозначенные внутри vlan как ipv4 совпадают.

Либо я чего-то не понимаю в правиле mac-type, либо ipfw сравнивает у помеченного 802.Q1 трафика не стандартное поле типа, а внутренний тип, обозначенный после метки vlan. Есть информация по этому поводу?
И с каждым днём тишина гробовела...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

ipfw mac-type vlan

Непрочитанное сообщение FreeBSP » 2016-04-05 1:17:05

на каком проходе у тебя пакеты попадают под то или иное правило&
l2 могут вылетать из файера раньше?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

question
проходил мимо
Сообщения: 4
Зарегистрирован: 2016-03-27 23:58:31

ipfw mac-type vlan

Непрочитанное сообщение question » 2016-04-05 13:55:45

FreeBSP писал(а):на каком проходе у тебя пакеты попадают под то или иное правило&
l2 могут вылетать из файера раньше?
На первом, из ether_demux. Из файрвола они никуда не вылетают, там после разрешающих правил вставлено

Код: Выделить всё

deny ip from any to any MAC any any via sk1 layer2
и они на нём отлично оседают. Фокус в том, что кадры Ethernet обычно имеют в заголовке поле EtherType сразу после MAC-адресов. А если пакет помечен 802.Q1, на этом месте находится 0x8100 - тип, указывающий, что пакет относится к vlan, а EtherType расположен дальше. ipfw, по ходу, или по ошибке или намеренно в виде какой-то затычки, сравнивает с аргументом mac-type у обычных пакетов собственно поле EtherType, а у помеченных 802.Q1 - EtherType, который указан уже в самой vlan, а не 0x8100 из метки vlan, расположенной на месте этого поля. Таким образом, mac-type vlan (mac-type 0x8100) никогда не совпадает.
И с каждым днём тишина гробовела...

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

ipfw mac-type vlan

Непрочитанное сообщение FreeBSP » 2016-04-05 17:34:41

а на двух других правилах почему нету флага layer2 ?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

question
проходил мимо
Сообщения: 4
Зарегистрирован: 2016-03-27 23:58:31

ipfw mac-type vlan

Непрочитанное сообщение question » 2016-04-06 13:54:37

FreeBSP писал(а):а на двух других правилах почему нету флага layer2 ?
Потому что он для опыта не имеет значения. Без него с правилом совпадают как пакеты, имеющие заголовок второго уровня, так и не имеющие. Я пробовал и с ним, и без него. По существу информация есть?
И с каждым днём тишина гробовела...

question
проходил мимо
Сообщения: 4
Зарегистрирован: 2016-03-27 23:58:31

ipfw mac-type vlan

Непрочитанное сообщение question » 2016-05-05 8:30:07

Аминь.
И с каждым днём тишина гробовела...