pf и mac-адреса
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
pf и mac-адреса
существует ли возможность фильтрация маков в freebsd средствами pf
погуглил ничего внятного не нашол, ткните носом
или придется пользовать pf+ipfw что не очень нриавится
погуглил ничего внятного не нашол, ткните носом
или придется пользовать pf+ipfw что не очень нриавится
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- bakake
- сержант
- Сообщения: 265
- Зарегистрирован: 2006-11-21 14:04:58
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
я хочу использовать Stateful Ruleset совместно с нат-ом
читая мануал хэндбука на тему ipfw пришол к выводу что ipfw в этом плане мне совершенно не нравится
особенно позобавили примеры из хэндбука
pf в этом плане поприятнее
у меня куча роутеров со фрюхой, с различным количеством сетевух и пропускать должны как маршрутизируемые ip-адреса так и локальные
попытка сообразить как реализовать красивый фаер на ipfw привела к головной боли
читая мануал хэндбука на тему ipfw пришол к выводу что ipfw в этом плане мне совершенно не нравится
особенно позобавили примеры из хэндбука
pf в этом плане поприятнее
у меня куча роутеров со фрюхой, с различным количеством сетевух и пропускать должны как маршрутизируемые ip-адреса так и локальные
попытка сообразить как реализовать красивый фаер на ipfw привела к головной боли
- bakake
- сержант
- Сообщения: 265
- Зарегистрирован: 2006-11-21 14:04:58
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
- Dog
- лейтенант
- Сообщения: 723
- Зарегистрирован: 2006-09-21 10:34:36
- Откуда: Kharkiv, Ukraine
- Контактная информация:
http://www.openbsd.org/faq/ - посмотрите здесь, есть описание, примеры. Английский, надеюсь, не отпугивает?
Для любителей поднять холивор: я не хочу обсуждать проблему "что есть в pf такого, чего нет в ipfw", но перешел на этот файрвол после того как а) в сетке компов на 20, которую я натил старым тазиком (чего-то типа P3-500), после смены файрвола и как следствия - средства для ната, нагрузка на проц упала раза в 2 минимум; б) ipfw не умеет, например, встроенными средствами снимать флаг "не фрагментировать", что может привести у проблемам при разном MTU на интерфейсах, особенно при работе с виндовыми клиентами; в) в pf более гибкий встроенный набор опций для управления соединениями - в частности защита от брютфорс-атак выполняется без установки дополнительных компонентов из дерева портов; г) на момент моего перехода в ipfw отсутствовала возможность маркировать пакеты на время прохождения файрвола - сейчас ввели, молодцы; д) - самый главный момент - мне больше понравилась логика работы, ИМХО возможны более гибкие конструкции в схемах более сложных, чем роутер или мэйл-сервер небольшой организации. Повторюсь - это исключительно ИМХО, мое мнение может быть и ошибочным - но оно сложилось на личном опыте.
Для любителей поднять холивор: я не хочу обсуждать проблему "что есть в pf такого, чего нет в ipfw", но перешел на этот файрвол после того как а) в сетке компов на 20, которую я натил старым тазиком (чего-то типа P3-500), после смены файрвола и как следствия - средства для ната, нагрузка на проц упала раза в 2 минимум; б) ipfw не умеет, например, встроенными средствами снимать флаг "не фрагментировать", что может привести у проблемам при разном MTU на интерфейсах, особенно при работе с виндовыми клиентами; в) в pf более гибкий встроенный набор опций для управления соединениями - в частности защита от брютфорс-атак выполняется без установки дополнительных компонентов из дерева портов; г) на момент моего перехода в ipfw отсутствовала возможность маркировать пакеты на время прохождения файрвола - сейчас ввели, молодцы; д) - самый главный момент - мне больше понравилась логика работы, ИМХО возможны более гибкие конструкции в схемах более сложных, чем роутер или мэйл-сервер небольшой организации. Повторюсь - это исключительно ИМХО, мое мнение может быть и ошибочным - но оно сложилось на личном опыте.
Oh my God, they killed init! Bastards!
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
- Dog
- лейтенант
- Сообщения: 723
- Зарегистрирован: 2006-09-21 10:34:36
- Откуда: Kharkiv, Ukraine
- Контактная информация:
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
- Dog
- лейтенант
- Сообщения: 723
- Зарегистрирован: 2006-09-21 10:34:36
- Откуда: Kharkiv, Ukraine
- Контактная информация:
Вот тут ничем помочь не смогу, не сталкивался... Теоретически - должно было само все обновить до надлежащего уровня, практически - попробуйте сварганить какую-нибудь конструкцию, которая заведомо работает в ipfw2 и не работает в ipfw, если будет ругаться на неизвестные параметры - значит надо гуглить в поисках инструкции к обновлению файрвола.
Oh my God, they killed init! Bastards!
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
- Dog
- лейтенант
- Сообщения: 723
- Зарегистрирован: 2006-09-21 10:34:36
- Откуда: Kharkiv, Ukraine
- Контактная информация:
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
ipfw2 входит в ядрос с 5.x ветки freebsd
man ipfw написано
>> { MAC | mac } dst-mac src-mac
тоесть правило типа
ipfw add deny log ip from any to any MAC any 00:12:99:71:73:1e
запретить пакеты от мака 00:12:99:71:73:1e
да еще переменная sysctl
net.link.ether.ipfw=1
если ядро 4.x
то действуем по сцылке
http://www.opennet.ru/tips/info/591.shtml
в faq по pf с openbsd.org никаких упоминаний о фильтрации arp не нашел
там только carp =/
man ipfw написано
>> { MAC | mac } dst-mac src-mac
тоесть правило типа
ipfw add deny log ip from any to any MAC any 00:12:99:71:73:1e
запретить пакеты от мака 00:12:99:71:73:1e
да еще переменная sysctl
net.link.ether.ipfw=1
если ядро 4.x
то действуем по сцылке
http://www.opennet.ru/tips/info/591.shtml
в faq по pf с openbsd.org никаких упоминаний о фильтрации arp не нашел
там только carp =/
- Dog
- лейтенант
- Сообщения: 723
- Зарегистрирован: 2006-09-21 10:34:36
- Откуда: Kharkiv, Ukraine
- Контактная информация:
Есть там, есть. Но толку от него мало будет: во-первых это только для создания бриджей (по крайней мере в FAQ'е, о более широком применении не скажу - опенка под рукой сейчас нет), во-вторых только в OpenBSD последних версих (начиная с какой - не помню), под FreeBSD эта фича находится на стадии внедрения, нестабильных патчей.
Прошу простить, ввел в заблуждение...
Прошу простить, ввел в заблуждение...
Oh my God, they killed init! Bastards!
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
- Dog
- лейтенант
- Сообщения: 723
- Зарегистрирован: 2006-09-21 10:34:36
- Откуда: Kharkiv, Ukraine
- Контактная информация:
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
- Dog
- лейтенант
- Сообщения: 723
- Зарегистрирован: 2006-09-21 10:34:36
- Откуда: Kharkiv, Ukraine
- Контактная информация:
Об ipf ничего сказать не могу.
Касаемо pf уже писал.
У ipfw есть гигантский просто плюс: он для FreeBSD нативный. Полноценная интеграция в netgraph, например, есть только у него. Вот только б если он развивался поинтенсивней...
В свое время, когда он уже несколько лет как существовал, не было и помине еще ни iptables линухового, ни pf. Сейчас по функционалу он чем дальше тем больше обставляется. А жаль, файрвол изначально очень интуитивно понятный и доступный в обучении и работе.
Касаемо pf уже писал.
У ipfw есть гигантский просто плюс: он для FreeBSD нативный. Полноценная интеграция в netgraph, например, есть только у него. Вот только б если он развивался поинтенсивней...
В свое время, когда он уже несколько лет как существовал, не было и помине еще ни iptables линухового, ни pf. Сейчас по функционалу он чем дальше тем больше обставляется. А жаль, файрвол изначально очень интуитивно понятный и доступный в обучении и работе.
Oh my God, they killed init! Bastards!
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация: