Привязка MAC-IP с помощью ipfw2

hck · Сообщение **hck** » Ср сен 28, 2005 10:17

Дяденьки, подскажите, а нет ли в правилах firewall переменной, в которой лежит мак юзера? дабы эту переменную использовать в правиле для ipfw2 и не иметь геморроя с перманентными арп-записями.

Chris · Сообщение **Chris** » Ср сен 28, 2005 10:24

Только если FreeBSD служит мостом. Иначе никак.

hck · Сообщение **hck** » Ср сен 28, 2005 11:37

Chris писал(а):Только если FreeBSD служит мостом. Иначе никак.

То есть "мостом"? Фря 5.4, ipfw2, смотрит одной стороной на клиентов, другой - на выход в мир.

Есть правила для ipfw, например такие:

Код: Выделить всё

add RULE_ID allow ip from any to UIP/UBITS
add RULE_ID allow ip from UIP/UBITS to any

Предположим есть переменная UMAC, в которой лежит мак юзера. Тогда делаем так:

Код: Выделить всё

add RULE_ID allow ip from any to UIP/UBITS mac UMAC any
add RULE_ID allow ip from UIP/UBITS to any mac any UMAC

Затем делаем так:

Код: Выделить всё

sysctl net.link.ether.ipfw=1

И получаем четкую привязку мак+адрес... Или я где то не прав?

Дак вот, вопрос и заключается в этой самой UMAC... есть такая переменная или нет? В документации я ничего не встретил.

hck · Сообщение **hck** » Ср сен 28, 2005 11:47

как оказалось переменная есть... MAC :)

Vovik · Сообщение **Vovik** » Ср сен 28, 2005 12:38

hck писал(а):как оказалось переменная есть... MAC

ткни пальцем?

Chris · Сообщение **Chris** » Ср сен 28, 2005 12:40

Если ты хочешь привязать мак - это одно, если ты хочешь на уровне файрвола фильтровать его - это другое.

Основное различие между ними заключается в том, что об'единение с помощью моста имеет место на Уровне 2 эталонной модели ISO, в то время как маршрутизация встречается на Уровне 3. Этой разницей об'ясняется то, что маршрутизация и об'единение по мостовой схеме используют различную информацию в процессе ее перемещения от источника к месту назначения.

http://www.citforum.ru/nets/ito/2.shtml

Учиться! Учиться и ещё раз учиться!

Vovik · Сообщение **Vovik** » Ср сен 28, 2005 12:48

Chris писал(а):Если ты хочешь привязать мак - это одно, если ты хочешь на уровне файрвола фильтровать его - это другое.

Основное различие между ними заключается в том, что об'единение с помощью моста имеет место на Уровне 2 эталонной модели ISO, в то время как маршрутизация встречается на Уровне 3. Этой разницей об'ясняется то, что маршрутизация и об'единение по мостовой схеме используют различную информацию в процессе ее перемещения от источника к месту назначения.

http://www.citforum.ru/nets/ito/2.shtml
Учиться! Учиться и ещё раз учиться!

Я имел в виду, где в утм можно вписать эту переменную?...
С какого билда она предусмотрена.

Chris · Сообщение **Chris** » Ср сен 28, 2005 13:13

Со всех. Там есть ай-пи, маска, логин, пароль, мак

hck · Сообщение **hck** » Ср сен 28, 2005 13:52

Chris писал(а):Если ты хочешь привязать мак - это одно, если ты хочешь на уровне файрвола фильтровать его - это другое.

Фильтрация по маку уже есть - на управляемы свичах, что смотрят одним портом на одного абонента. mac learning на портах выключен, статически один мак забит. Т.е. враг не пройдет :)

Предположим, что человек указал верный мак. Свич его пропустил, мой DHCP сервер выдал человеку адрес, правильный разумеется, фиксированный. По связке мак+айпи человек проходит, всё хорошо.

Предположим, что человек сменил мак. На сим он и закончит, ибо дальше свича не уйдёт.

Предположим, что человек оказался гондурасом. Он оставил свой мак, но указал статически айпи соседа, которого захотел нагреть на трафик. А сосед конечно же в отпуске на юге, и потому адрес свободен. В этом случае пара мак-айпи оказывается неверная и правила просто не выполняются. Гондурас остался с носом.

Чем плох такой расклад?

P.S. Провайдим хоумнеты, решили отойти от VPN вообще... отсюда и задача.

Vovik · Сообщение **Vovik** » Ср сен 28, 2005 13:59

hck писал(а):
Chris писал(а):Если ты хочешь привязать мак - это одно, если ты хочешь на уровне файрвола фильтровать его - это другое.
Фильтрация по маку уже есть - на управляемы свичах, что смотрят одним портом на одного абонента. mac learning на портах выключен, статически один мак забит. Т.е. враг не пройдет

Предположим, что человек указал верный мак. Свич его пропустил, мой DHCP сервер выдал человеку адрес, правильный разумеется, фиксированный. По связке мак+айпи человек проходит, всё хорошо.

Предположим, что человек сменил мак. На сим он и закончит, ибо дальше свича не уйдёт.

Предположим, что человек оказался гондурасом. Он оставил свой мак, но указал статически айпи соседа, которого захотел нагреть на трафик. А сосед конечно же в отпуске на юге, и потому адрес свободен. В этом случае пара мак-айпи оказывается неверная и правила просто не выполняются. Гондурас остался с носом.

Чем плох такой расклад?

P.S. Провайдим хоумнеты, решили отойти от VPN вообще... отсюда и задача.

а если сменил и мас и ип?
кранты?...

Chris · Сообщение **Chris** » Ср сен 28, 2005 14:21

Чем плох такой расклад?

Что только на каталистах связка mac-learning ip-mac работает....

hck · Сообщение **hck** » Ср сен 28, 2005 14:25

Vovik писал(а):а если сменил и мас и ип?
кранты?...

езернет-фреймы с левым маком не пропустит управляемый свич.

hck · Сообщение **hck** » Ср сен 28, 2005 14:32

Chris писал(а):
Чем плох такой расклад?
Что только на каталистах связка mac-learning ip-mac работает.... :-(

зачем ip-mac? это мы сделали на сервере. а disable mac learning + specify static mac может сделать стадолларовый zyxel, а то и ещё проще кто нибудь.

ну выставил юзер айпи руками себе при неизменном маке... и нифига не получил, файрвол его не пропустит.