pf и открытие доступа по мак адресу

[Cancer]

Доброго времени суток!

Код: Выделить всё

# Таблица для доступа к ВПН
VPN_table="{80.66.xxx.xxx, 10.59.25.233, 217.106.xxx.xxx}"


pass in quick on $ext_if proto tcp from $VPN_table to self port 1723
pass in quick on $ext_if proto udp from $VPN_table to self port 1723

Вот Вопросик можно ли сделать тоже самое токо с мак адресами, а то 10.59.25.233 серый и динамический
так что плохо это, да и не только он один.

Или mpd заставить по маку аутентификацию


Или кто что может предложить нужно подключение к ВПН (mpd)определенным компам из мира но IP у них всех динамические так, и таблица ай пи тут не в помощь.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

> ...I would like to have
> this working on the new openbsd system that I am building but not sure how
> to block / accept by mac address in pf or should I do this at the bridge
> level?


MAC address filtering is not available via pf, only via brconfig's
filtering tool.

[maradona]

если клиенты в одной сети вам нужно IPFW с правилом вида:

Код: Выделить всё

$cmd add allow all from any to any MAC $macgate $mymac

и в обратную сторону:

Код: Выделить всё

$cmd add allow all from any to any MAC $mymac $macgate

[Cancer]

если клиенты в одной сети вам нужно IPFW с правилом вида:

Код: Выделить всё

$cmd add allow all from any to any MAC $macgate $mymac

и в обратную сторону:

Код: Выделить всё

$cmd add allow all from any to any MAC $mymac $macgate

а нельзя сделать все токо в pf

[schizoid]

а нельзя сделать все токо в pf

> ...I would like to have
> this working on the new openbsd system that I am building but not sure how
> to block / accept by mac address in pf or should I do this at the bridge
> level?


MAC address filtering is not available via pf, only via brconfig's
filtering tool.

[Cancer]

Все ясно )

[Cancer]

Вернулся к теме обратно
Вот можно сделать так пропускать на pf все на порт 1723

Код: Выделить всё

pass in quick on $ext_if proto tcp from any to self port 1723
pass in quick on $ext_if proto udp from any to self port 1723

и тут же поднять ipfw

и создать таблицу мак адресов
и фильтровать на ipfw по мак адресам с модема udp и tcp по порту 1723

кто знает помогите с ipfw

правило по подробнее написать ,,

а то здесь так и непонял

$cmd add allow all from any to any MAC $mymac $macgate

[Cancer]

сделал так
в /etc/rc.conf

Код: Выделить всё

### ipfw
firewall_enable="YES" 
firewall_script="/etc/ipfw.sh"

/etc/ipfw.sh

Код: Выделить всё

#!/bin/sh
ipfw add allow all from any to any MAC мак_удаленной_сетевой мак_моей_сетевой

Не канает

[Cancer]

Может кто что нить юзал для таких целей ??????

[zingel]

ещё как юзал, у меня работает:

Код: Выделить всё

[root@zingel /home/666]# ipfw show 296
00296       0           0 deny ip from any to any MAC any ff:ff:ff:ff:ff:ff
[root@zingel /home/666]# ipfw show 295
00295       0           0 deny ip from any to any layer2 mac-type 0x0806 MAC 00:13:46:53:13:4f 00:50:22:b4:cf:e6 xmit lagg0

только я очень не уверен, что оно хорошо работает с преобразованиеями

[freeman]

а нельзя сделать все токо в pf

Фильтрование по MAC в PF только в Current FreeBSD. Тут полгода назад пробегала инфа что дописали.

[maradona]

Код: Выделить всё

#!/bin/sh
ipfw add allow all from any to any MAC мак_удаленной_сетевой мак_моей_сетевой

это трафик в одну сторону, добавь в обратную, потом закрываеш остальной трафик на канальном уровне правилом вида:

Код: Выделить всё

$cmd add deny all  from any to any layer2 via rl1

ну и как собран IPFW? покажи ipfw show
p.s. у меня фильтрующие правила тоже на PF, а если нужно с МАС работать включаю IPFW т.е. работают 2 фаера сразу )