pf и mac-адреса

[hizel]

существует ли возможность фильтрация маков в freebsd средствами pf
погуглил ничего внятного не нашол, ткните носом
или придется пользовать pf+ipfw что не очень нриавится

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[bakake]

Я искал как то, не нашел. Нашел упоминания про мак только для родной платформы pf -- openbsd.

А что в pf такого чего в ipfw нет? NAT на уровне ядра? Дык врядли Вы в 100 мигабит натите

[Alex Keda]

а даже если и натить - третий пнёк справиться должен....

[hizel]

я хочу использовать Stateful Ruleset совместно с нат-ом
читая мануал хэндбука на тему ipfw пришол к выводу что ipfw в этом плане мне совершенно не нравится
особенно позобавили примеры из хэндбука
pf в этом плане поприятнее

у меня куча роутеров со фрюхой, с различным количеством сетевух и пропускать должны как маршрутизируемые ip-адреса так и локальные

попытка сообразить как реализовать красивый фаер на ipfw привела к головной боли

[bakake]

В хендбуке примеры староваты... Я конечно человек не светский, и не мне советовать, однако из двух зол -- иметь два пакетных фильтра на одном ядре или помучиться с конфигом не совсем простой настройки, я бы выбрал последнее.

[hizel]

понимаю вашу речь

[Dog]

http://www.openbsd.org/faq/ - посмотрите здесь, есть описание, примеры. Английский, надеюсь, не отпугивает?
Для любителей поднять холивор: я не хочу обсуждать проблему "что есть в pf такого, чего нет в ipfw", но перешел на этот файрвол после того как а) в сетке компов на 20, которую я натил старым тазиком (чего-то типа P3-500), после смены файрвола и как следствия - средства для ната, нагрузка на проц упала раза в 2 минимум; б) ipfw не умеет, например, встроенными средствами снимать флаг "не фрагментировать", что может привести у проблемам при разном MTU на интерфейсах, особенно при работе с виндовыми клиентами; в) в pf более гибкий встроенный набор опций для управления соединениями - в частности защита от брютфорс-атак выполняется без установки дополнительных компонентов из дерева портов; г) на момент моего перехода в ipfw отсутствовала возможность маркировать пакеты на время прохождения файрвола - сейчас ввели, молодцы; д) - самый главный момент - мне больше понравилась логика работы, ИМХО возможны более гибкие конструкции в схемах более сложных, чем роутер или мэйл-сервер небольшой организации. Повторюсь - это исключительно ИМХО, мое мнение может быть и ошибочным - но оно сложилось на личном опыте.

[schizoid]

[offtop]
а не подскажете где мона почитать про ipfw+mac ?
а то там, где я читал, пишут, что тока ipfw2 такое умеет
а как пререползти с ipfw на ipfw2 ?
ОС 6.2
[/offtop]

[Dog]

А разве в 6.2 ipfw2 не идет по дефолту?..

[schizoid]

хз, как узнать?
я обновлялся с 5.3 на 6.2...

[Dog]

Вот тут ничем помочь не смогу, не сталкивался... Теоретически - должно было само все обновить до надлежащего уровня, практически - попробуйте сварганить какую-нибудь конструкцию, которая заведомо работает в ipfw2 и не работает в ipfw, если будет ругаться на неизвестные параметры - значит надо гуглить в поисках инструкции к обновлению файрвола.

[schizoid]

ясн, снкс

[dikens3]

Не парься, на 5.3. уже был ipfw2 по умолчанию.

P.S. Я с неё и начал своё путешествие во FreeBSD.

[schizoid]

так вродь написано дета было, что б включить ipfw2 нуно перекомпилить ядро с опцией ipfw2 , а у мну скомпилено с ipfw. пойдет так?

[Dog]

/usr/src/sys/conf/NOTES - и что там есть насчет ipfw2?

[schizoid]

хм, хз... вечером гляну

[dikens3]

Можно использовать статическую ARP таблицу
Т.е. сделать привяку IP<>MAC
А потом в фаере пропускать IP (Мак будет привязан)

[hizel]

ipfw2 входит в ядрос с 5.x ветки freebsd

man ipfw написано
>> { MAC | mac } dst-mac src-mac
тоесть правило типа
ipfw add deny log ip from any to any MAC any 00:12:99:71:73:1e
запретить пакеты от мака 00:12:99:71:73:1e
да еще переменная sysctl
net.link.ether.ipfw=1

если ядро 4.x
то действуем по сцылке
http://www.opennet.ru/tips/info/591.shtml


в faq по pf с openbsd.org никаких упоминаний о фильтрации arp не нашел
там только carp =/

[Dog]

Есть там, есть. Но толку от него мало будет: во-первых это только для создания бриджей (по крайней мере в FAQ'е, о более широком применении не скажу - опенка под рукой сейчас нет), во-вторых только в OpenBSD последних версих (начиная с какой - не помню), под FreeBSD эта фича находится на стадии внедрения, нестабильных патчей.
Прошу простить, ввел в заблуждение...

[hizel]

склоняюсь к мысли pf+ipfw всетаки
не думаю что будут какие то траблы
тоесть ipfw - только лаер2 фильтрует
pf - все что выше заодно altq и другие его приятности

[Dog]

Ага, к сожалению пока только так. Остается уповать на Max Laier, чтобы у него получилось довести pf до актуального (по сравнению с OpenBSD) уровня как можно быстрей...

[hizel]

я так понимаю что даже в OpenBSD нет сопостовимой по функциональности с ipfw
layer2 фильтрации
обидно три разных фаервола с разным функционалом но не охватывающим все
увы нам увы

[Dog]

Об ipf ничего сказать не могу.
Касаемо pf уже писал.
У ipfw есть гигантский просто плюс: он для FreeBSD нативный. Полноценная интеграция в netgraph, например, есть только у него. Вот только б если он развивался поинтенсивней...
В свое время, когда он уже несколько лет как существовал, не было и помине еще ни iptables линухового, ни pf. Сейчас по функционалу он чем дальше тем больше обставляется. А жаль, файрвол изначально очень интуитивно понятный и доступный в обучении и работе.

[dikens3]

Да блин, причём тут ARP в IPFW?

ARP - это отдельный протокол.
Вывод arp -an посмотри
arp -d - удалить запись
и т.д.

[schizoid]

хм..а кто про АРП говорил?