pf и открытие доступа по мак адресу

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

pf и открытие доступа по мак адресу

Непрочитанное сообщение Cancer » 2008-09-15 15:24:34

Доброго времени суток!

Код: Выделить всё

# Таблица для доступа к ВПН
VPN_table="{80.66.xxx.xxx, 10.59.25.233, 217.106.xxx.xxx}"


pass in quick on $ext_if proto tcp from $VPN_table to self port 1723
pass in quick on $ext_if proto udp from $VPN_table to self port 1723

Вот Вопросик можно ли сделать тоже самое токо с мак адресами, а то 10.59.25.233 серый и динамический
так что плохо это, да и не только он один.

Или mpd заставить по маку аутентификацию


Или кто что может предложить нужно подключение к ВПН (mpd)определенным компам из мира но IP у них всех динамические так, и таблица ай пи тут не в помощь.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение zingel » 2008-09-15 20:03:00

> ...I would like to have
> this working on the new openbsd system that I am building but not sure how
> to block / accept by mac address in pf or should I do this at the bridge
> level?


MAC address filtering is not available via pf, only via brconfig's
filtering tool.
Z301171463546 - можно пожертвовать мне денег

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение maradona » 2008-09-15 20:36:32

если клиенты в одной сети вам нужно IPFW с правилом вида:

Код: Выделить всё

$cmd add allow all from any to any MAC $macgate $mymac
и в обратную сторону:

Код: Выделить всё

$cmd add allow all from any to any MAC $mymac $macgate

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение Cancer » 2008-09-15 20:55:06

maradona писал(а):если клиенты в одной сети вам нужно IPFW с правилом вида:

Код: Выделить всё

$cmd add allow all from any to any MAC $macgate $mymac
и в обратную сторону:

Код: Выделить всё

$cmd add allow all from any to any MAC $mymac $macgate

а нельзя сделать все токо в pf

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение schizoid » 2008-09-16 9:18:27

Cancer писал(а):а нельзя сделать все токо в pf
> ...I would like to have
> this working on the new openbsd system that I am building but not sure how
> to block / accept by mac address in pf or should I do this at the bridge
> level?


MAC address filtering is not available via pf, only via brconfig's
filtering tool.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение Cancer » 2008-09-16 20:15:35

Все ясно )

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение Cancer » 2008-09-30 11:28:35

Вернулся к теме обратно
Вот можно сделать так пропускать на pf все на порт 1723

Код: Выделить всё

pass in quick on $ext_if proto tcp from any to self port 1723
pass in quick on $ext_if proto udp from any to self port 1723
и тут же поднять ipfw

и создать таблицу мак адресов
и фильтровать на ipfw по мак адресам с модема udp и tcp по порту 1723

кто знает помогите с ipfw

правило по подробнее написать ,,

а то здесь так и непонял
$cmd add allow all from any to any MAC $mymac $macgate

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение Cancer » 2008-09-30 12:12:48

сделал так
в /etc/rc.conf

Код: Выделить всё

### ipfw
firewall_enable="YES" 
firewall_script="/etc/ipfw.sh"
/etc/ipfw.sh

Код: Выделить всё

#!/bin/sh
ipfw add allow all from any to any MAC мак_удаленной_сетевой мак_моей_сетевой

Не канает :(

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение Cancer » 2008-09-30 16:00:05

Может кто что нить юзал для таких целей ??????

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение zingel » 2008-10-03 9:56:31

ещё как юзал, у меня работает:

Код: Выделить всё

[root@zingel /home/666]# ipfw show 296
00296       0           0 deny ip from any to any MAC any ff:ff:ff:ff:ff:ff
[root@zingel /home/666]# ipfw show 295
00295       0           0 deny ip from any to any layer2 mac-type 0x0806 MAC 00:13:46:53:13:4f 00:50:22:b4:cf:e6 xmit lagg0
только я очень не уверен, что оно хорошо работает с преобразованиеями
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение freeman » 2008-10-15 12:15:56

Cancer писал(а):а нельзя сделать все токо в pf
Фильтрование по MAC в PF только в Current FreeBSD. Тут полгода назад пробегала инфа что дописали.
Остатся должен только один ...

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: pf и открытие доступа по мак адресу

Непрочитанное сообщение maradona » 2008-10-19 10:11:30

Код: Выделить всё

#!/bin/sh
ipfw add allow all from any to any MAC мак_удаленной_сетевой мак_моей_сетевой
это трафик в одну сторону, добавь в обратную, потом закрываеш остальной трафик на канальном уровне правилом вида:

Код: Выделить всё

$cmd add deny all  from any to any layer2 via rl1
ну и как собран IPFW? покажи ipfw show
p.s. у меня фильтрующие правила тоже на PF, а если нужно с МАС работать включаю IPFW т.е. работают 2 фаера сразу =))