2010/3/25 Zbyněk Burget <zbur...@burgnet.cz>: > Dne 25.3.2010 16:03, icovnik napsal(a): >> Snazim sa vyrobit firewall na FreeBSD 7.2, ktory by filtroval, resp. >> pustal pakety na zaklade spravnej kombinacie IP a MAC adries. > > Tohle ovsem neni standardne ukol pro firewall. > Uz to zde zaznelo, jen to upresnim - bude te zajimat STATICKA arp tabulka.
Nie, toto mi nepomoze, vysvetlim nizsie. > Nutit firewall, aby ti filtroval spravne pary IP/MAC by zbytecne > komplikovalo konfiguraci jakehokoli firewallu a prodluzovalo dobu pruchodu > packteu firewallem. Hej, so zlozitostou ratam a nevadi mi, cele nastavenie by sa mi vyrabalo z nejakeho textaku s popisom, ktora IP ma mat aku MAC adresu. Run-time narocnost je zaujimavejsia, ale take zle to hadam nebude. Hocijaky dnesny pocitac musi zvladnut firewall s 500 pravidlami pri 100 mbit/s lavou zadnou. > Opravdu bych zvazil, jestli ti staticka arp tabulka nebude zivot spis > komplikovat, nez aby ti prinesla nejaky vaznejsi uzitek. Ako som napisal vyssie, staticka ARP tabulka mi vobec neriesi problem, skor vyraba novy. Ak si totiz niekto zmeni IPcku, tak sa ani nemusi dopingat na router a to povazujem za chybu. Router by teda nemal mat staticku ARP tabulku, len by mal pustat spravne nastavene kompy. Aby som vysvetlil, co sa snazim urobit. Mam LANku pripojenu na net. Pocitace uzivatelov na vnutornej strane neviem ovplyvnit, maju windoze a kazdu chvilu si pokazia nastavenia atd. Ked maju nastavenia spravne, tak maju "svoju" MAC a IP adresu. Tychto firewall bez problemov pusti do netu. Ked vsak niekto zacne vymyslat, menit si IPcky a robit IP konflikty, tak ho firewall do netu nepusti, navyse vsetky jeho HTTP requesty forwardne na moj server, ktory mu vrati stranku, ze ma zle nastavenia. Ak su aj sikovni ludia, ktori si vedia zmenit MAC tak, aby im to fungovalo, tak a) je ich malo a az tak ma to nezaujima a b) ak ich bude vela, zastavia ich ACL na switchoch. Uz len dodam, ze tento setup mi funguje na linuxe, ale som nuteny v tomto pripade pouzit FreeBSD (a som v nom lama). Dufam vsak, ze podobne veci uz museli predo mnou riesit aj ini ludia a preto by to malo byt mozne. Ako som napisal v prvom maili, napr. na OpenBSD sa to da obist oznacovanim paketov cez pravidla pre 2. vrstvu. Pre zaujimavost, na linuxe to robim zhruba takto (neberte to ako provokaciu ;-), len sa snazim vysvetlit, co chcem dosiahnut): lan=eth1 iptables -A PREROUTING -t nat -i $lan -s $ip -m mac --mac-source $mac -j ACCEPT # predosly riadok opakuj pre vsetkych hostov iptables -A PREROUTING -t nat -i $lan -p tcp --dport 80 -j DNAT --to-destination $proxy iptables -A FORWARD -i $lan -s $ip -m mac --mac-source $mac -j ACCEPT # predosly riadok opakuj pre vsetkych hostov iptables -A FORWARD -i $lan -j DROP Vdaka za rady ico -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
