Страница 1 из 1
if_brige, arp, mac
Добавлено: 2008-06-13 17:02:56
opt1k
ситуация: есть 2 физически разные сети, но с одним адресным пространством, они отделены через if_bridge на фре 7.0
В каждой из сеток есть компы с айпишником 10.10.1.1(серваки)
вопрос, как сделать так, что бы мак адрес сервера из одной сети не попадал в таблицу клиентов другой.
ЗЫ вся реализация нужна именно на уровне моста
ЗЫ
Код: Выделить всё
00050 add deny ip from any to any MAC 00:12:6f:11:22:25 any
00050 add deny ip from any to any MAC any 00:12:6f:11:22:25
net.link.ether.ipfw: 1
не катит, уже проверил, есть идеи?
Re: if_brige, arp, mac
Добавлено: 2008-06-13 17:17:40
hizel
net.link.ether.bridge_ipfw пинали?
Re: if_brige, arp, mac
Добавлено: 2008-06-13 17:36:33
opt1k
видимо, вы переменную указали не точно, возможно вы имели ввиду что то из:
Код: Выделить всё
sysctl net.link.bridge.pfil_bridge=1
sysctl net.link.bridge.pfil_member=1
net.link.ether.ipfw=1
?
Re: if_brige, arp, mac
Добавлено: 2008-06-13 21:28:24
hizel
странно в man ipfw и man if_bridge разные sysctl переменные фигурируют
Re: if_brige, arp, mac
Добавлено: 2008-06-13 21:31:54
opt1k
вобщем фильтрация работает, я не знаю как правильно фильтр написать, если даю:
Код: Выделить всё
${FwCMD} add deny MAC any ff:ff:ff:ff:ff:ff
${FwCMD} add deny MAC ff:ff:ff:ff:ff:ff any
то прекращает резолвиться всё что за мостом, включая мост, если даю
Код: Выделить всё
${FwCMD} add allow MAC 00:0c:6e:d7:e4:99 any
${FwCMD} add allow MAC any 00:0c:6e:d7:e4:99
где мак - мак моей машины, то резолвиться всё со всех компов, т.е. пропускает арп не только с\на мой комп, но и на другие.
Re: if_brige, arp, mac
Добавлено: 2008-06-13 21:37:16
opt1k
эх, наврал я, в обоих случаях пропускает арп в обе стороны...
//отредактировано
всё таки блочит как описано выше
Re: if_brige, arp, mac
Добавлено: 2008-06-13 23:02:49
maradona
Код: Выделить всё
net.link.bridge.ipfw_arp Set to 1 to enable layer2 ARP filtering with
ipfirewall(4), set to 0 to disable it.
Requires ipfw to be enabled.