problem s kompilovanim kernelu - hatm driver
Ahojte, Snazim sa skompilovat kenrel na FBSD 8.0 s podporou ATM, ale nedari sa mi. Podla manualu (`man hatm`) pridam do configu pozadovane parametre: device hatm device utopia device atm options NATM ale kompilovanie zhavaruje: cc -c -O -pipe -std=c99 -g -Wall -Wredundant-decls -Wnested-externs -Wstrict-prototypes -Wmissing-prototypes -Wpointer-arith -Winline -Wcast-qual -Wundef -Wno-pointer-sign -fformat-extensions -nostdinc -I. -I/usr/src/sys -I/usr/src/sys/contrib/altq -D_KERNEL -DHAVE_KERNEL_OPTION_HEADERS -include opt_global.h -fno-common -finline-limit=8000 --param inline-unit-growth=100 --param large-function-growth=1000 -mno-align-long-strings -mpreferred-stack-boundary=2 -mno-mmx -mno-3dnow -mno-sse -mno-sse2 -mno-sse3 -ffreestanding -fstack-protector -Werror /usr/src/sys/netinet/if_atm.c /usr/src/sys/netinet/if_atm.c: In function 'atm_rtrequest': /usr/src/sys/netinet/if_atm.c:232: error: 'struct rtentry' has no member named 'rt_llinfo' /usr/src/sys/netinet/if_atm.c:258: error: 'struct rtentry' has no member named 'rt_llinfo' /usr/src/sys/netinet/if_atm.c:276: error: 'struct rtentry' has no member named 'rt_llinfo' /usr/src/sys/netinet/if_atm.c:278: error: 'struct rtentry' has no member named 'rt_llinfo' *** Error code 1 Az taky dobry v C nie som, aby som presne vedel tuto chybu opravit. Vedeli by ste mi niekto pomoct? Len pre upresnenie dodam, ze presne toto iste mi fungovalo v FBSD 6.2, 7.0 a 7.2, teraz v 8.0 mi to prvykrat nejde skompilovat. Zeby dajaky bug? Dikes ico -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
filtrovanie podla IP a MAC
Ahojte, Snazim sa vyrobit firewall na FreeBSD 7.2, ktory by filtroval, resp. pustal pakety na zaklade spravnej kombinacie IP a MAC adries. Skusal som na tento ucel pouzit pf - neda sa. pf vie filtrovat len L3. Pre OpenBSD som nasiel, ze sa to da oklamat cez otagovanie niekde na L2 vrstve. Nikde som vsak nenasiel, ze by sa taketo cosi dalo urobit aj na FreeBSD. Potom som skusil aj ipfw. Tam to bolo trosku lepsie, ale aj tam je zopar problemov. Chcel by som mat niekde na konci firewallu pravidlo, napr. add 1000 deny ip from any to any a jednotlive stroje na LANke povolovat cez add 10 allow ip from 1.1.1.5 to any in via fxp0 mac any Ked sa snazim pouzivat v pravidlach "MAC ", tak mi to nefunguje. V tomto vypise som to skusal pravidlami 970 a 980: 00970 allow ip from any to any layer2 in via fxp0 MAC any 00980 allow ip from any to any in via fxp0 MAC any 01000 deny ip from any to any in via fxp0 Ked sa vsak snazim v pravidle 1000 zakazat vsetko na L2, tak mi zakaze aj ARP a to nie je prave to, co chcem... Existuje nejaky jednoduchy sposob, ako toto cele zrealizovat? Dakujem ico PS: Ano, viem ze MAC adresa sa da zmenit a ze takato ochrana nie je az taka super - ano, vsetko chapem. Naozaj by som vsak toto filtrovanie potreboval, tak prosim o par prikazov, ktorymi by som vedel "zviazat" IP a MAC pri vstupe do routra. -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: filtrovanie podla IP a MAC
2010/3/25 Zbyněk Burget : > Dne 25.3.2010 16:03, icovnik napsal(a): >> Snazim sa vyrobit firewall na FreeBSD 7.2, ktory by filtroval, resp. >> pustal pakety na zaklade spravnej kombinacie IP a MAC adries. > > Tohle ovsem neni standardne ukol pro firewall. > Uz to zde zaznelo, jen to upresnim - bude te zajimat STATICKA arp tabulka. Nie, toto mi nepomoze, vysvetlim nizsie. > Nutit firewall, aby ti filtroval spravne pary IP/MAC by zbytecne > komplikovalo konfiguraci jakehokoli firewallu a prodluzovalo dobu pruchodu > packteu firewallem. Hej, so zlozitostou ratam a nevadi mi, cele nastavenie by sa mi vyrabalo z nejakeho textaku s popisom, ktora IP ma mat aku MAC adresu. Run-time narocnost je zaujimavejsia, ale take zle to hadam nebude. Hocijaky dnesny pocitac musi zvladnut firewall s 500 pravidlami pri 100 mbit/s lavou zadnou. > Opravdu bych zvazil, jestli ti staticka arp tabulka nebude zivot spis > komplikovat, nez aby ti prinesla nejaky vaznejsi uzitek. Ako som napisal vyssie, staticka ARP tabulka mi vobec neriesi problem, skor vyraba novy. Ak si totiz niekto zmeni IPcku, tak sa ani nemusi dopingat na router a to povazujem za chybu. Router by teda nemal mat staticku ARP tabulku, len by mal pustat spravne nastavene kompy. Aby som vysvetlil, co sa snazim urobit. Mam LANku pripojenu na net. Pocitace uzivatelov na vnutornej strane neviem ovplyvnit, maju windoze a kazdu chvilu si pokazia nastavenia atd. Ked maju nastavenia spravne, tak maju "svoju" MAC a IP adresu. Tychto firewall bez problemov pusti do netu. Ked vsak niekto zacne vymyslat, menit si IPcky a robit IP konflikty, tak ho firewall do netu nepusti, navyse vsetky jeho HTTP requesty forwardne na moj server, ktory mu vrati stranku, ze ma zle nastavenia. Ak su aj sikovni ludia, ktori si vedia zmenit MAC tak, aby im to fungovalo, tak a) je ich malo a az tak ma to nezaujima a b) ak ich bude vela, zastavia ich ACL na switchoch. Uz len dodam, ze tento setup mi funguje na linuxe, ale som nuteny v tomto pripade pouzit FreeBSD (a som v nom lama). Dufam vsak, ze podobne veci uz museli predo mnou riesit aj ini ludia a preto by to malo byt mozne. Ako som napisal v prvom maili, napr. na OpenBSD sa to da obist oznacovanim paketov cez pravidla pre 2. vrstvu. Pre zaujimavost, na linuxe to robim zhruba takto (neberte to ako provokaciu ;-), len sa snazim vysvetlit, co chcem dosiahnut): lan=eth1 iptables -A PREROUTING -t nat -i $lan -s $ip -m mac --mac-source $mac -j ACCEPT # predosly riadok opakuj pre vsetkych hostov iptables -A PREROUTING -t nat -i $lan -p tcp --dport 80 -j DNAT --to-destination $proxy iptables -A FORWARD -i $lan -s $ip -m mac --mac-source $mac -j ACCEPT # predosly riadok opakuj pre vsetkych hostov iptables -A FORWARD -i $lan -j DROP Vdaka za rady ico -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: filtrovanie podla IP a MAC
No ja som sa len snazil zistit, ako sa da cez akykolvek firewall na FreeBSD urobit tato jedna vec (ak ma zdrojovy paked spravnu zdrojovu IP a MAC, prepustit, ak nie, tak TCP/80 zNATovat, ostatne zahodit). No poskusam este google... Co sa tyka dizajnu celeho, urcite nie je idealny. V kazdom pripade, spoofnutu IP routra aj tak staticka ARP tabulka na routri neriesi, kedze ja neviem vopred ovplyvnit, co sa deje na kompoch uzivatelov. Svet, kde by vsetci na sieti pouzivali nejaky *NIX ako obycajny user (a ja by som mal roota ;) ) by bol pekny, ale zial, nie je v mojom pripade realny. Vdaka ico 2010/3/26 Dan Lukes : > icovnik wrote: >> Ako som napisal vyssie, staticka ARP tabulka mi vobec neriesi problem, >> skor vyraba novy. Ak si totiz niekto zmeni IPcku, tak sa ani nemusi >> dopingat na router a to povazujem za chybu. > > To jako, ze chces, aby se zmenenym IP mohl fungovat v lokalni siti bez > problemu, a problemy mel jen pri komunikaci ven ? > > To je ponekud zvlastni pozadavek, protoze takovy uzivatel nemusi mit > problemy sam - on tou svoji "blbou IP" muze likvidovat provoz nekomu > jinemu, a pri velmi nestastnem nastaveni (nastavi si jako svoji IP > adresu routeru, coz je docela casta chyba u rucnich konfiguraci) tak i > provoz cele sigte. > > Ale proti gustu zadny disputat ... > >> podobne veci uz museli predo mnou riesit aj ini ludia > > Nejsem si az tak jisty. To, co ty chces ve sve siti dovolit jako > "normalni" bych ja rozhodne hodnotil jako nezadouci (byt' nezamerny) > utok na mnou poskytovane sluzby a ohrozeni funkce site pro ostatni > uzivatele. > > To osem nic nemeni na tom, ze mas pravo ho mit - jen bych si az tak > nebyl jisty tim mnozstvim dalsch lidi, kteri se prave tento (bezny) > problem rozhodli resit timto zpusobem (ted nemluvim o konkretnim > nastaveni, ale o cele te myslence, ze spatne nakonfigurovany pocitac ma > v lokalni siti vlastne dovoleno byt a ovlivnovat jeji provoz svoji > komunikaci). > > Dan > > -- > FreeBSD mailing list (users-l@freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
