Страница 2 из 2

Re: [ipfw] Mac

Добавлено: 2010-09-10 11:03:59
hizel
ну правильно, так и должно быть

Код: Выделить всё

man ipfw 
до просветления
как тест:

Код: Выделить всё

ipfw add 1 allow ip from any to any layer2

Re: [ipfw] Mac

Добавлено: 2010-09-10 14:14:09
skeletor
Так тут дело не в файерволе, а в squid'e, так как он блочит! Видимо собрал squid с поддержкой MAC, но не описал в нём использования MAC'ов.

Re: [ipfw] Mac

Добавлено: 2010-09-10 15:54:49
hizel
а как опция которая относится к ipfw может влиять на squid? squid не привязан к конкретному фаерволу. логику включите

Re: [ipfw] Mac

Добавлено: 2010-09-10 17:24:35
skeletor
Вот и я не знаю. А как может это включение влиять на то, что сайты блочаться именно squid'ом? Причём тут ipfw?

Re: [ipfw] Mac

Добавлено: 2010-09-12 17:26:56
Shuriks
Если я правильно понял сообщение http://forum.lissyara.su/viewtopic.php? ... 60#p206711 , то пакеты попадают в ipfw еще и на канальном уровне, для которого у тебя нет разрешающих правил. Но в конце очевидно есть deny all from any to any, под которое попадают пакеты в том числе и на канальном уровне. Соответственно блокируется все.

Re: [ipfw] Mac

Добавлено: 2010-09-13 10:53:44
skeletor
Ну ведь тогда бы в браузере отображалось "Невозможно отобразить страницу", а не "Access Debied y squid". Верно?

Re: [ipfw] Mac

Добавлено: 2011-05-18 7:19:24
ges35
Добрый день есть вопрос по фильтрации mac адресов, надеюсь здесь помогут
стоит freebsd 8.1 ipfw настроен по ip все работает, конфиг рабочий
далее вот по этой статье разбирался и делал
http://www.opennet.ru/openforum/vsluhfo ... 03.html#27
как там написанно все сделал

Код: Выделить всё

sysctl net.link.ether.ipfw=1

${ipfw} 1 add skipto 100 ip from any to any not layer2
${ipfw} 5 add allow ip from any to any layer2 not via fxp0
${ipfw} 10 add skipto 40 ip from 192.168.50.33 to any layer2 in via fxp0
${ipfw} 20 add deny ip from ${my_net} to any mac any 00:0e:a6:45:0b:d4  in via fxp0
${ipfw} 40 add allow  ip from any to any layer2 via fxp0 

и даже все заработало но тут получается все равно привязка к IP.
У меня задача фильтровать по mac таким образом:
в сети dhcp по этому ip выдаются случайным образом и назначать не хотелось бы, у всех настроены основные правила ipfw, а есть как обычно пользователи у которых компы необычные и им надо выходить в обход правил, и разрешить все.
Вопрос: как построить правила так чтобы была фильтрация по mac но без привязки к ip
из моих экспериментов на сколько я понял правило

Код: Выделить всё

add allow ip from ${my_net} to any mac any 00:0e:a6:45:0b:d4  in via fxp0
и даже такое

Код: Выделить всё

add allow ip from ${my_net} to any mac any 00:0e:a6:45:0b:d4
только разрешает этот мак но пропускать его не может ,надо переводить в фильтрацию по ip и дальше пускать по правилам, что и делает правило

Код: Выделить всё

${ipfw} 40 add allow  ip from any to any layer2 via fxp0
но оно ставит пакет снова в начало очереди, те пускает по стандартным правилам, как запустить в обход этих правил, по спец правилам типа any to any

Re: [ipfw] Mac

Добавлено: 2011-05-29 18:15:35
ges35
Что никто не знает как такое сделать?

Re: [ipfw] Mac

Добавлено: 2011-05-30 0:11:26
MASiK
Вау ) А маки всем интересны я смотрю )))

Народ тока не забываем что чем жирнее ФаэрВол тем медленнее инет, а тут у нас пакет мы гоняем аж 4 раза! Я от этого варианта ушёл, так как это сложновато получается для людей не понимающих, и любой ИП можно просто привязать к маку и будет вам крутая система безопасности

2ges35


А у тебя я не понял вопроса ты пишешь что делаешь skipto и в тоже время не понимаешь как обойти какие либо правила, или я не понял вопроса или ты не понял как работает skipto...

Re: [ipfw] Mac

Добавлено: 2011-06-08 4:31:58
ges35
skipto перебрасывает на нужное правило , это понятно, как сделать чтобы не было привязки к ip, надо чтобы фильтровал только по маку, например разрешить все mac:00:0e:a6:45:0b:d4 и неважно какой у него будет ip.

Re: [ipfw] Mac

Добавлено: 2013-01-08 13:30:38
ss25
Апну темку поскольку столкнулся с надобность разрешать по мак адресам.

Есть настроенный ipfw уже с правилами но под ип адреса хочу теперь прикрутить и маки.
Про то что трафик проходит 4 раза через правила знаю и что net.link.ether.ipfw=1 нужно тоже.
В такой конфигурации работает но куда писать правила для разрешения по мак адресам и в каком порядке не могу понять.

Нужно 192.168.0.5/32 00:02:b3:b9:8c:ce/48 пропускать через нат остальным запретить пользоваться натом но при этом оставить доступ к самому серверу.

Код: Выделить всё

#!/bin/sh
FwCMD="/sbin/ipfw"
LanOut="alc0"
LanIn="fxp0"

IpOut="00000000"
NetOut="111111111"
NetOutMask="29"

IpIn="192.168.0.1"
NetIn="192.168.0.0"
NetInMask="16"

${FwCMD} -f flush

${FwCMD} add 10 skipto 4000 all from any to any layer2 in
${FwCMD} add 20 skipto 100 all from any to any not layer2 in
${FwCMD} add 30 skipto 100 all from any to any not layer2 out
${FwCMD} add 40 skipto 6000 all from any to any layer2 out

${FwCMD} add 00100 check-state

${FwCMD} add 00110 allow log logamount 100 ip from any to any via lo0

${FwCMD} add 00120 allow log logamount 100 ip from any to any via ${LanIn}

${FwCMD} add 00130 allow log logamount 100 tcp from ${NetOut}/${NetOutMask} to ${IpOut} established
${FwCMD} add 00131 allow log logamount 100 tcp from ${IpOut} to ${NetOut}/${NetOutMask} established

${FwCMD} add 00201 allow log logamount 100 tcp from any to ${IpOut} 2112 via ${LanOut} keep-state
${FwCMD} add 00202 allow log logamount 100 tcp from any to ${IpOut} 2332 via ${LanOut} keep-state

${FwCMD} add 00303 allow log logamount 100 tcp from ${NetOut}/${NetOutMask} to ${IpOut} 5900 via ${LanOut} keep-state

${FwCMD} nat 1 config ip ${IpOut} log reset same_ports deny_in

${FwCMD} add 00400 nat 1 log logamount 100 ip from any to ${IpOut} in recv ${LanOut}
${FwCMD} add 00410 nat 1 log logamount 100 ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add 00450 nat 1 log logamount 100 ip from 192.168.0.5/32 to any out xmit ${LanOut}

${FwCMD} add 5000 allow log logamount 100 all from any to any layer2 in
${FwCMD} add 6000 allow log logamount 100 all from any to any layer2 out

${FwCMD} add 65534 deny log logamount 100 all from any to any