Jaroslav Juha napsal(a): > Zdravim, pratele, >
> Vse se chystam udelat pomoci IPFW (nebo by nekdo doproucil jine reseni?) a > prave zde jsem narazil na kontrole paru MAC-IP. Nejdrive jsem povolil > net.inet.ipfw 0>1, ale nefunguje mi prostup routerem, pokud zadam pravidla: > > deny ip from any to any via jmeno_sitovky > allow ip from ip_addr MAC mac_addr to any MAC any > Nejsem si jist tim, jestli jsi pochopil, jak tecou packety skrz ipfw. Zaprve - na to, aby do ipfw vstupovaly i v layer2 (misto, kde se da jeste precist MAC, je zapotrebi jeste nastavit net.link.ether.ipfw=1 a v tomto okamziku bude packet prochazejici skrz router do ipfw vtupovat 4x. 1. v layer2 vstupni interface (mozna kontrola MAC) 2. v layer3 vstupni interface (neni mozna kontrola MAC) 3. v layer3 vystupni interface (neni mozna kontrola MAC) 4. v layer2 vystupni interface (mozna kontrola MAC) ve vsech pripadech VZDY vyhrava prvni pravidlo, kteremu packet vyhovi. Ve tvem pripade deny ip from any to any via jmeno_sitovky odstreli veskery provoz jdouci skrz prislusny interface Muj nazor je, ze pruchod packetu firewallem v layer2 vubec nepotrebujes. To, co chces udelat vyresis statickou arp tabulkou. Stale ti ale pak zustava problem v tom, ze v ipfw musis rozlisit smer chodu packteru firewallem a aktualni interface, na ktery / ze ktereho packet jde. Dobre si prostuduj man ipfw, je tam vse opravdu detailne a DOBRE popsano. Jen je potreba pochopit princip, jak to funguje, pak uz je to "brnkacka". Zbynek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
