forum.lissyara.su

Следующая ситуация: шлюз на FreeBSD 10.2, локалка с vlan'ами, ipfw2, фильтрация по layer2.
Есть интерфейс sk1, без IP-адреса, на котором поднято с десяток vlan'ов, пытаюсь настроить на интерфейсе фильтр, который пропустит только пакеты, имеющие метки 802.Q1.
Добавил правило: Ни один пакет не совпадает, хотя tcpdump показывает, что поле типа содержит 0x8100, как и должно быть.
При этом с правилом пакеты, обозначенные внутри vlan как ipv4 совпадают.

Либо я чего-то не понимаю в правиле mac-type, либо ipfw сравнивает у помеченного 802.Q1 трафика не стандартное поле типа, а внутренний тип, обозначенный после метки vlan. Есть информация по этому поводу?

на каком проходе у тебя пакеты попадают под то или иное правило&
l2 могут вылетать из файера раньше?

FreeBSP писал(а):на каком проходе у тебя пакеты попадают под то или иное правило&
l2 могут вылетать из файера раньше?

На первом, из ether_demux. Из файрвола они никуда не вылетают, там после разрешающих правил вставлено и они на нём отлично оседают. Фокус в том, что кадры Ethernet обычно имеют в заголовке поле EtherType сразу после MAC-адресов. А если пакет помечен 802.Q1, на этом месте находится 0x8100 - тип, указывающий, что пакет относится к vlan, а EtherType расположен дальше. ipfw, по ходу, или по ошибке или намеренно в виде какой-то затычки, сравнивает с аргументом mac-type у обычных пакетов собственно поле EtherType, а у помеченных 802.Q1 - EtherType, который указан уже в самой vlan, а не 0x8100 из метки vlan, расположенной на месте этого поля. Таким образом, mac-type vlan (mac-type 0x8100) никогда не совпадает.

а на двух других правилах почему нету флага layer2 ?

FreeBSP писал(а):а на двух других правилах почему нету флага layer2 ?

Потому что он для опыта не имеет значения. Без него с правилом совпадают как пакеты, имеющие заголовок второго уровня, так и не имеющие. Я пробовал и с ним, и без него. По существу информация есть?

Аминь.