Страница 1 из 1

Хочу закрыть доступ в интернет по МАС адресу

Добавлено: 2007-02-21 20:15:59
PSdok
Пытаюсь определенному МАС адресу запрелить выход в интернет
# sysctl net.link.ether.ipfw=1
# ipfw add deny ip from any to any mac 0:17:31:db:ce:2b
но вылетает ошибка

ipfw: MAC dst src

что не так делать?

Добавлено: 2007-02-22 8:45:54
Din

Код: Выделить всё


// firewall.rules

add 10 allow ip from any to any via lo0
// allow any traffic to bridge ip
add 20 allow ip from any to me
add 20 allow ip from me to any

////add 50 allow ip from any to any

// ethernet level control
add 100 skipto 30000 ip from any to any not layer2
//add 1000 deny ip from 10.16.80.2 to any not mac src-mac 4c:00:10:74:0b:f3 via rl0
//add 1000 allow ip from 10.16.80.2 to any mac src-mac 4c:00:10:74:0b:f3
add 1000 allow mac-type arp
//add 1000 allow ip from 10.16.80.80 to any mac any 00:04:61:ab:e3:8a
//add 1000 allow ip from any to 10.16.80.80 mac 00:04:61:ab:e3:8a any
//add 1000 allow ip from any to any mac 00:04:61:ab:e3:8a any
//add 1000 allow ip from any to any mac any 00:04:61:ab:e3:8a

// place for automaticly generated rules (10000-20000)
//
//

// allow all ethernet traffic by default
add 25100 allow ip from any to any layer2 
////add 25100 allow ip from any to any via rl0 layer2 
////add 25200 allow ip from any to any via rl1 layer2 
////add 25300 allow ip from any to any via rl2 layer2 

// ip level control

add 31100 allow ip from any to any
////add 31100 allow ip from any to any via rl0
////add 31200 allow ip from any to any via rl1
////add 31300 allow ip from any to any via rl2

 
вот строка привязки
//add 1000 allow ip from 10.16.80.80 to any mac any 00:04:61:ab:e3:8a
//add 1000 allow ip from any to 10.16.80.80 mac 00:04:61:ab:e3:8a any

 
вместо строки
add 25100 allow ip from any to any layer2 
ставишь
add 25100 deny ip from any to any layer2 
и враг не пройдет

это мне кидали как пример но я думаю всё понятно

Добавлено: 2007-02-22 11:38:57
dikens3
Можно ARP соответствие сделать IP - ТВОЙ MAC
к примеру у тебя:

Код: Выделить всё

192.168.2.187 00:c0:26:a7:87:61
Делаешь ip-адрес какой-нибудь 10.10.10.10 и тот же мас. Х куда выйдет. :-)