pf и mac-адреса

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

pf и mac-адреса

Непрочитанное сообщение hizel » 2007-06-29 13:33:15

существует ли возможность фильтрация маков в freebsd средствами pf
погуглил ничего внятного не нашол, ткните носом
или придется пользовать pf+ipfw что не очень нриавится :(

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
bakake
сержант
Сообщения: 265
Зарегистрирован: 2006-11-21 14:04:58

Непрочитанное сообщение bakake » 2007-06-29 13:50:44

Я искал как то, не нашел. Нашел упоминания про мак только для родной платформы pf -- openbsd.

А что в pf такого чего в ipfw нет? NAT на уровне ядра? Дык врядли Вы в 100 мигабит натите :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-29 13:53:10

а даже если и натить - третий пнёк справиться должен....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Непрочитанное сообщение hizel » 2007-06-29 14:07:10

я хочу использовать Stateful Ruleset совместно с нат-ом
читая мануал хэндбука на тему ipfw пришол к выводу что ipfw в этом плане мне совершенно не нравится
особенно позобавили примеры из хэндбука
pf в этом плане поприятнее

у меня куча роутеров со фрюхой, с различным количеством сетевух и пропускать должны как маршрутизируемые ip-адреса так и локальные

попытка сообразить как реализовать красивый фаер на ipfw привела к головной боли

Аватара пользователя
bakake
сержант
Сообщения: 265
Зарегистрирован: 2006-11-21 14:04:58

Непрочитанное сообщение bakake » 2007-06-29 14:11:44

В хендбуке примеры староваты... Я конечно человек не светский, и не мне советовать, однако из двух зол -- иметь два пакетных фильтра на одном ядре или помучиться с конфигом не совсем простой настройки, я бы выбрал последнее.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Непрочитанное сообщение hizel » 2007-06-29 15:05:47

понимаю вашу речь :)

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Непрочитанное сообщение Dog » 2007-07-02 10:30:03

http://www.openbsd.org/faq/ - посмотрите здесь, есть описание, примеры. Английский, надеюсь, не отпугивает?
Для любителей поднять холивор: я не хочу обсуждать проблему "что есть в pf такого, чего нет в ipfw", но перешел на этот файрвол после того как а) в сетке компов на 20, которую я натил старым тазиком (чего-то типа P3-500), после смены файрвола и как следствия - средства для ната, нагрузка на проц упала раза в 2 минимум; б) ipfw не умеет, например, встроенными средствами снимать флаг "не фрагментировать", что может привести у проблемам при разном MTU на интерфейсах, особенно при работе с виндовыми клиентами; в) в pf более гибкий встроенный набор опций для управления соединениями - в частности защита от брютфорс-атак выполняется без установки дополнительных компонентов из дерева портов; г) на момент моего перехода в ipfw отсутствовала возможность маркировать пакеты на время прохождения файрвола - сейчас ввели, молодцы; д) - самый главный момент - мне больше понравилась логика работы, ИМХО возможны более гибкие конструкции в схемах более сложных, чем роутер или мэйл-сервер небольшой организации. Повторюсь - это исключительно ИМХО, мое мнение может быть и ошибочным - но оно сложилось на личном опыте.
Oh my God, they killed init! Bastards!

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Непрочитанное сообщение schizoid » 2007-07-02 11:06:27

[offtop]
а не подскажете где мона почитать про ipfw+mac ?
а то там, где я читал, пишут, что тока ipfw2 такое умеет
а как пререползти с ipfw на ipfw2 ?
ОС 6.2
[/offtop]
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Непрочитанное сообщение Dog » 2007-07-02 11:08:41

А разве в 6.2 ipfw2 не идет по дефолту?..
Oh my God, they killed init! Bastards!

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Непрочитанное сообщение schizoid » 2007-07-02 11:10:21

хз, как узнать?
я обновлялся с 5.3 на 6.2...
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Непрочитанное сообщение Dog » 2007-07-02 11:13:46

Вот тут ничем помочь не смогу, не сталкивался... Теоретически - должно было само все обновить до надлежащего уровня, практически - попробуйте сварганить какую-нибудь конструкцию, которая заведомо работает в ipfw2 и не работает в ipfw, если будет ругаться на неизвестные параметры - значит надо гуглить в поисках инструкции к обновлению файрвола.
Oh my God, they killed init! Bastards!

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Непрочитанное сообщение schizoid » 2007-07-02 11:18:45

ясн, снкс
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-07-02 11:41:24

Не парься, на 5.3. уже был ipfw2 по умолчанию.

P.S. Я с неё и начал своё путешествие во FreeBSD.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Непрочитанное сообщение schizoid » 2007-07-02 11:54:29

так вродь написано дета было, что б включить ipfw2 нуно перекомпилить ядро с опцией ipfw2 , а у мну скомпилено с ipfw. пойдет так?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Непрочитанное сообщение Dog » 2007-07-02 12:27:21

/usr/src/sys/conf/NOTES - и что там есть насчет ipfw2?
Oh my God, they killed init! Bastards!

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Непрочитанное сообщение schizoid » 2007-07-02 12:37:03

хм, хз... вечером гляну :)
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-07-02 13:01:02

Можно использовать статическую ARP таблицу
Т.е. сделать привяку IP<>MAC
А потом в фаере пропускать IP (Мак будет привязан)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Непрочитанное сообщение hizel » 2007-07-02 13:07:05

ipfw2 входит в ядрос с 5.x ветки freebsd

man ipfw написано
>> { MAC | mac } dst-mac src-mac
тоесть правило типа
ipfw add deny log ip from any to any MAC any 00:12:99:71:73:1e
запретить пакеты от мака 00:12:99:71:73:1e
да еще переменная sysctl
net.link.ether.ipfw=1

если ядро 4.x
то действуем по сцылке
http://www.opennet.ru/tips/info/591.shtml


в faq по pf с openbsd.org никаких упоминаний о фильтрации arp не нашел :(
там только carp =/

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Непрочитанное сообщение Dog » 2007-07-02 13:36:57

Есть там, есть. Но толку от него мало будет: во-первых это только для создания бриджей (по крайней мере в FAQ'е, о более широком применении не скажу - опенка под рукой сейчас нет), во-вторых только в OpenBSD последних версих (начиная с какой - не помню), под FreeBSD эта фича находится на стадии внедрения, нестабильных патчей.
Прошу простить, ввел в заблуждение... :(
Oh my God, they killed init! Bastards!

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Непрочитанное сообщение hizel » 2007-07-02 13:41:13

склоняюсь к мысли pf+ipfw всетаки
не думаю что будут какие то траблы
тоесть ipfw - только лаер2 фильтрует
pf - все что выше заодно altq и другие его приятности

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Непрочитанное сообщение Dog » 2007-07-02 13:51:26

Ага, к сожалению пока только так. Остается уповать на Max Laier, чтобы у него получилось довести pf до актуального (по сравнению с OpenBSD) уровня как можно быстрей...
Oh my God, they killed init! Bastards!

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Непрочитанное сообщение hizel » 2007-07-02 13:54:15

я так понимаю что даже в OpenBSD нет сопостовимой по функциональности с ipfw
layer2 фильтрации
обидно три разных фаервола с разным функционалом но не охватывающим все
увы нам увы

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Непрочитанное сообщение Dog » 2007-07-02 14:06:15

Об ipf ничего сказать не могу.
Касаемо pf уже писал.
У ipfw есть гигантский просто плюс: он для FreeBSD нативный. Полноценная интеграция в netgraph, например, есть только у него. Вот только б если он развивался поинтенсивней...
В свое время, когда он уже несколько лет как существовал, не было и помине еще ни iptables линухового, ни pf. Сейчас по функционалу он чем дальше тем больше обставляется. А жаль, файрвол изначально очень интуитивно понятный и доступный в обучении и работе.
Oh my God, they killed init! Bastards!

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-07-02 14:11:54

Да блин, причём тут ARP в IPFW?

ARP - это отдельный протокол.
Вывод arp -an посмотри
arp -d - удалить запись
и т.д.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Непрочитанное сообщение schizoid » 2007-07-02 14:26:19

хм..а кто про АРП говорил?
ядерный взрыв...смертельно красиво...жаль, что не вечно...