forum.lissyara.su

mayor писал(а):

Gloft писал(а):Как может срабатывать deny правило если перед ним стоит правило с allow?

одно правило для L3 второе для L2

Всё правильно.
Первый вариант: мак есть в арп-кеше.
При подключении сразу идёт запрос по tcp и нормально проходит.

Второй вариант: мака нет в арп-кеше.
При подключении идёт запрос мака и на этом всё заканчивается, т.к. этот запрос режется запрещающим правилом.

В smb пакете есть и ip (l3) и мак (L2).
Правила обрабатываются по порядку, и не в коем случае не отдельно для ip (l3) и мак (L2).
И первое правило у тебя сработает на ip, и пакет на проверку мака не дойдет.

Gloft писал(а):В smb пакете есть и ip (l3) и мак (L2).
Правила обрабатываются по порядку, и не в коем случае не отдельно для ip (l3) и мак (L2).
И первое правило у тебя сработает на ip, и пакет на проверку мака не дойдет.

Ага, зато до проверки мака дойдут все остальные, не-smb-пакеты. Например arp. ;)

Ну дойдут.
Узнает клиент мак сервера, отправит пакет с ипом и сработает правило на ip.
Где я неправ?

Gloft писал(а):Ну дойдут.
Узнает клиент мак сервера, отправит пакет с ипом и сработает правило на ip.
Где я неправ?

В том-то и дело, что arp-пакеты дойдут до второго правила и на нём зарежутся. Клиент не узнает mac сервера и не отправит пакеты с ипом.

хм теперь обющую концепцию понял.
Но почему тогда не сделать так. Конечно если клиенту других сервисов с сервера брать не нужно, то можно резать все запросы, а так только smb.

такое правило написать нельзя оно не понятно для какого уровня

LizardOfOzz писал(а):

mayor писал(а):

Gloft писал(а):Как может срабатывать deny правило если перед ним стоит правило с allow?

одно правило для L3 второе для L2

Всё правильно.
Первый вариант: мак есть в арп-кеше.
При подключении сразу идёт запрос по tcp и нормально проходит.

Второй вариант: мака нет в арп-кеше.
При подключении идёт запрос мака и на этом всё заканчивается, т.к. этот запрос режется запрещающим правилом.

так точно