Ahojte,
Snazim sa vyrobit firewall na FreeBSD 7.2, ktory by filtroval, resp.
pustal pakety na zaklade spravnej kombinacie IP a MAC adries.
Skusal som na tento ucel pouzit pf - neda sa. pf vie filtrovat len L3.
Pre OpenBSD som nasiel, ze sa to da oklamat cez otagovanie niekde na
L2 vrstve. Nikde som vsak nenasiel, ze by sa taketo cosi dalo urobit
aj na FreeBSD.
Potom som skusil aj ipfw. Tam to bolo trosku lepsie, ale aj tam je
zopar problemov. Chcel by som mat niekde na konci firewallu pravidlo,
napr.
add 1000 deny ip from any to any
a jednotlive stroje na LANke povolovat cez
add 10 allow ip from 1.1.1.5 to any in via fxp0 mac any <srcmac>
Ked sa snazim pouzivat v pravidlach "MAC <dst> <src>", tak mi to
nefunguje. V tomto vypise som to skusal pravidlami 970 a 980:
00970 allow ip from any to any layer2 in via fxp0 MAC any <srcmac>
00980 allow ip from any to any in via fxp0 MAC any <srcmac>
01000 deny ip from any to any in via fxp0
Ked sa vsak snazim v pravidle 1000 zakazat vsetko na L2, tak mi zakaze
aj ARP a to nie je prave to, co chcem...
Existuje nejaky jednoduchy sposob, ako toto cele zrealizovat?
Dakujem
ico
PS: Ano, viem ze MAC adresa sa da zmenit a ze takato ochrana nie je az
taka super - ano, vsetko chapem. Naozaj by som vsak toto filtrovanie
potreboval, tak prosim o par prikazov, ktorymi by som vedel "zviazat"
IP a MAC pri vstupe do routra.
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
