pf и mac-адреса

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-07-02 14:29:05

Автор:
в faq по pf с openbsd.org никаких упоминаний о фильтрации arp не нашел Sad
там только carp =/
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
bakake
сержант
Сообщения: 265
Зарегистрирован: 2006-11-21 14:04:58

Непрочитанное сообщение bakake » 2007-07-02 15:39:40

hizel писал(а): в faq по pf с openbsd.org никаких упоминаний о фильтрации arp не нашел :(
там только carp =/
Я вот тут нашел, взглянул внимательно. Оказалось pf фильтровать по MAC даже в openbsd не умеет, а делается это через мрачный изврат с тэгированием пакетов в бридже. Кстати, if_bridge во freebsd по моему тоже из openbsd портировали, так что может быть что то подобное можно и тут соорудить
FreeBSD-д тавтай морилно уу!

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Непрочитанное сообщение hizel » 2007-07-03 9:42:03

странно какие извращения в примере из хэндбука насчет keep state правил
в примере многоуважаемого lissyara такого нет
в последних ветках как то изменилась логика\последовательность работы divert/natd?

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Непрочитанное сообщение Dog » 2007-07-03 9:45:13

lissyara не использует stateful-фильтрацию. Почитай тут.
Oh my God, they killed init! Bastards!

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Непрочитанное сообщение hizel » 2007-07-03 10:34:24

а каже это?

Код: Выделить всё

# Блокируем все остальные попытки соединения с занесением в логи
${FwCMD} add deny log tcp from any to ${IpOut} in via ${LanOut} setup

${FwCMD} add allow tcp from ${IpOut} to any out via ${LanOut} setup
${FwCMD} add allow tcp from any to ${IpOut} in via ${LanIn} setup

########### BEGIN USERS   ###############################

# Разрешаем всем аську (ICQ)
${FwCMD} add allow tcp from ${NetIn} to any 5190 in via ${LanIn} setup

# Пользователи которым разрешён инет
${FwCMD} add allow tcp from ${ip_lan}.151 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.153 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.154 to not ${NetIn} in via ${LanIn} setup
setup - это не из этой оперы?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Непрочитанное сообщение hizel » 2007-07-03 10:57:25

пардон ступил, вопрос закрыл :/

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Непрочитанное сообщение freeman » 2007-07-03 13:29:19

bakake писал(а):
hizel писал(а): в faq по pf с openbsd.org никаких упоминаний о фильтрации arp не нашел :(
там только carp =/
Я вот тут нашел, взглянул внимательно. Оказалось pf фильтровать по MAC даже в openbsd не умеет, а делается это через мрачный изврат с тэгированием пакетов в бридже. Кстати, if_bridge во freebsd по моему тоже из openbsd портировали, так что может быть что то подобное можно и тут соорудить
Маркирование кадров ethernet (канальный уровень OSI)

Если машина работает как мост на канальном уровне (в OpenBSD см. bridge(4) в FreeBSD if_bridge(4)) пакетный фильтр может маркировать кадры ethernet. При создании правил трансляции при помощи команды brconfig(8) (характерна для OpenBSD) можно установить маркер с помощью опции tag:
# brconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 tag USER1


Далее можно ссылаться на этот маркер в pf.conf(5):
pass in on fxp0 tagged USER1

По моему ничего мрачного, вот только бридж надо, а оно надо ? :)