Страница 1 из 2

pf и mac-адреса

Добавлено: 2007-06-29 13:33:15
hizel
существует ли возможность фильтрация маков в freebsd средствами pf
погуглил ничего внятного не нашол, ткните носом
или придется пользовать pf+ipfw что не очень нриавится :(

Добавлено: 2007-06-29 13:50:44
bakake
Я искал как то, не нашел. Нашел упоминания про мак только для родной платформы pf -- openbsd.

А что в pf такого чего в ipfw нет? NAT на уровне ядра? Дык врядли Вы в 100 мигабит натите :)

Добавлено: 2007-06-29 13:53:10
Alex Keda
а даже если и натить - третий пнёк справиться должен....

Добавлено: 2007-06-29 14:07:10
hizel
я хочу использовать Stateful Ruleset совместно с нат-ом
читая мануал хэндбука на тему ipfw пришол к выводу что ipfw в этом плане мне совершенно не нравится
особенно позобавили примеры из хэндбука
pf в этом плане поприятнее

у меня куча роутеров со фрюхой, с различным количеством сетевух и пропускать должны как маршрутизируемые ip-адреса так и локальные

попытка сообразить как реализовать красивый фаер на ipfw привела к головной боли

Добавлено: 2007-06-29 14:11:44
bakake
В хендбуке примеры староваты... Я конечно человек не светский, и не мне советовать, однако из двух зол -- иметь два пакетных фильтра на одном ядре или помучиться с конфигом не совсем простой настройки, я бы выбрал последнее.

Добавлено: 2007-06-29 15:05:47
hizel
понимаю вашу речь :)

Добавлено: 2007-07-02 10:30:03
Dog
http://www.openbsd.org/faq/ - посмотрите здесь, есть описание, примеры. Английский, надеюсь, не отпугивает?
Для любителей поднять холивор: я не хочу обсуждать проблему "что есть в pf такого, чего нет в ipfw", но перешел на этот файрвол после того как а) в сетке компов на 20, которую я натил старым тазиком (чего-то типа P3-500), после смены файрвола и как следствия - средства для ната, нагрузка на проц упала раза в 2 минимум; б) ipfw не умеет, например, встроенными средствами снимать флаг "не фрагментировать", что может привести у проблемам при разном MTU на интерфейсах, особенно при работе с виндовыми клиентами; в) в pf более гибкий встроенный набор опций для управления соединениями - в частности защита от брютфорс-атак выполняется без установки дополнительных компонентов из дерева портов; г) на момент моего перехода в ipfw отсутствовала возможность маркировать пакеты на время прохождения файрвола - сейчас ввели, молодцы; д) - самый главный момент - мне больше понравилась логика работы, ИМХО возможны более гибкие конструкции в схемах более сложных, чем роутер или мэйл-сервер небольшой организации. Повторюсь - это исключительно ИМХО, мое мнение может быть и ошибочным - но оно сложилось на личном опыте.

Добавлено: 2007-07-02 11:06:27
schizoid
[offtop]
а не подскажете где мона почитать про ipfw+mac ?
а то там, где я читал, пишут, что тока ipfw2 такое умеет
а как пререползти с ipfw на ipfw2 ?
ОС 6.2
[/offtop]

Добавлено: 2007-07-02 11:08:41
Dog
А разве в 6.2 ipfw2 не идет по дефолту?..

Добавлено: 2007-07-02 11:10:21
schizoid
хз, как узнать?
я обновлялся с 5.3 на 6.2...

Добавлено: 2007-07-02 11:13:46
Dog
Вот тут ничем помочь не смогу, не сталкивался... Теоретически - должно было само все обновить до надлежащего уровня, практически - попробуйте сварганить какую-нибудь конструкцию, которая заведомо работает в ipfw2 и не работает в ipfw, если будет ругаться на неизвестные параметры - значит надо гуглить в поисках инструкции к обновлению файрвола.

Добавлено: 2007-07-02 11:18:45
schizoid
ясн, снкс

Добавлено: 2007-07-02 11:41:24
dikens3
Не парься, на 5.3. уже был ipfw2 по умолчанию.

P.S. Я с неё и начал своё путешествие во FreeBSD.

Добавлено: 2007-07-02 11:54:29
schizoid
так вродь написано дета было, что б включить ipfw2 нуно перекомпилить ядро с опцией ipfw2 , а у мну скомпилено с ipfw. пойдет так?

Добавлено: 2007-07-02 12:27:21
Dog
/usr/src/sys/conf/NOTES - и что там есть насчет ipfw2?

Добавлено: 2007-07-02 12:37:03
schizoid
хм, хз... вечером гляну :)

Добавлено: 2007-07-02 13:01:02
dikens3
Можно использовать статическую ARP таблицу
Т.е. сделать привяку IP<>MAC
А потом в фаере пропускать IP (Мак будет привязан)

Добавлено: 2007-07-02 13:07:05
hizel
ipfw2 входит в ядрос с 5.x ветки freebsd

man ipfw написано
>> { MAC | mac } dst-mac src-mac
тоесть правило типа
ipfw add deny log ip from any to any MAC any 00:12:99:71:73:1e
запретить пакеты от мака 00:12:99:71:73:1e
да еще переменная sysctl
net.link.ether.ipfw=1

если ядро 4.x
то действуем по сцылке
http://www.opennet.ru/tips/info/591.shtml


в faq по pf с openbsd.org никаких упоминаний о фильтрации arp не нашел :(
там только carp =/

Добавлено: 2007-07-02 13:36:57
Dog
Есть там, есть. Но толку от него мало будет: во-первых это только для создания бриджей (по крайней мере в FAQ'е, о более широком применении не скажу - опенка под рукой сейчас нет), во-вторых только в OpenBSD последних версих (начиная с какой - не помню), под FreeBSD эта фича находится на стадии внедрения, нестабильных патчей.
Прошу простить, ввел в заблуждение... :(

Добавлено: 2007-07-02 13:41:13
hizel
склоняюсь к мысли pf+ipfw всетаки
не думаю что будут какие то траблы
тоесть ipfw - только лаер2 фильтрует
pf - все что выше заодно altq и другие его приятности

Добавлено: 2007-07-02 13:51:26
Dog
Ага, к сожалению пока только так. Остается уповать на Max Laier, чтобы у него получилось довести pf до актуального (по сравнению с OpenBSD) уровня как можно быстрей...

Добавлено: 2007-07-02 13:54:15
hizel
я так понимаю что даже в OpenBSD нет сопостовимой по функциональности с ipfw
layer2 фильтрации
обидно три разных фаервола с разным функционалом но не охватывающим все
увы нам увы

Добавлено: 2007-07-02 14:06:15
Dog
Об ipf ничего сказать не могу.
Касаемо pf уже писал.
У ipfw есть гигантский просто плюс: он для FreeBSD нативный. Полноценная интеграция в netgraph, например, есть только у него. Вот только б если он развивался поинтенсивней...
В свое время, когда он уже несколько лет как существовал, не было и помине еще ни iptables линухового, ни pf. Сейчас по функционалу он чем дальше тем больше обставляется. А жаль, файрвол изначально очень интуитивно понятный и доступный в обучении и работе.

Добавлено: 2007-07-02 14:11:54
dikens3
Да блин, причём тут ARP в IPFW?

ARP - это отдельный протокол.
Вывод arp -an посмотри
arp -d - удалить запись
и т.д.

Добавлено: 2007-07-02 14:26:19
schizoid
хм..а кто про АРП говорил?