URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 49503
[ Назад ]

Исходное сообщение
"Как в ipfw привязать MAC к IP"
Отправлено alk , 18-Окт-04 13:05

FreeBSD5.2.1
Хочу чтобы машина поменяв IP не могла пройти через ipfw
Статьи типа http://www.opennet.me/base/net/arp_filter.txt.html
не предлагайте
больно муторно все свободные ip в pub загонять
Пишу к примеру

ipfw add 120 deny mac src-mac 00:0e:a6:45:0b:d4 not src-ip 192.168.50.250
получаем..
deny ip from any to any MAC any 00:0e:a6:45:0b:d4 not src-ip 192.168.50.250
Меняем адрес с 192.168.50.250 на 192.168.50.251
и... по барабану машина проходит через ipfw
Пробуем по другому
ipfw add 120 deny all from 192.168.50.250 to any mac src-mac 00:0e:a6:45:0b:d4
получаем
00120 deny ip from 192.168.50.250 MAC any 00:0e:a6:45:0b:d4 any
эффект тот-же
чувствую что по логике не врубаюсь
plz окажите содействие

Содержание

Как в ipfw привязать MAC к IP,hromach, 13:48 , 18-Окт-04
- Как в ipfw привязать MAC к IP,alk, 13:51 , 18-Окт-04
  - Как в ipfw привязать MAC к IP,alk, 17:52 , 18-Окт-04
    - >есть какое-нибудь предложение? ,poige, 19:38 , 18-Окт-04
    - Как в ipfw привязать MAC к IP,A Clockwork Orange, 19:42 , 18-Окт-04
Как в ipfw привязать MAC к IP,Дмитрий Ю. Карпов, 22:08 , 18-Окт-04
- Как в ipfw привязать MAC к IP,alk, 09:56 , 19-Окт-04
  - Как в ipfw привязать MAC к IP,A Clockwork Orange, 10:08 , 19-Окт-04
  - Как в ipfw привязать MAC к IP,alk, 10:13 , 19-Окт-04
    - Как в ipfw привязать MAC к IP,alk, 10:34 , 19-Окт-04
      - Как в ipfw привязать MAC к IP,Loky, 11:08 , 19-Окт-04
        
        Как в ipfw привязать MAC к IP,screepah, 14:03 , 19-Окт-04
        
        Как в ipfw привязать MAC к IP,alk, 17:20 , 19-Окт-04
        
        Как в ipfw привязать MAC к IP,Loky, 17:43 , 19-Окт-04
        
        Как в ipfw привязать MAC к IP,alk, 17:49 , 19-Окт-04
        
        Как в ipfw привязать MAC к IP,Loky, 18:14 , 19-Окт-04
        
        Как в ipfw привязать MAC к IP,alk, 18:21 , 19-Окт-04
        
        Как в ipfw привязать MAC к IP,alk, 13:15 , 27-Окт-04
        
        Как в ipfw привязать MAC к IP,A Clockwork Orange, 14:34 , 27-Окт-04
        
        Как в ipfw привязать MAC к IP,alk, 15:08 , 27-Окт-04
        
        Как в ipfw привязать MAC к IP,A Clockwork Orange, 15:20 , 27-Окт-04
        
        Как в ipfw привязать MAC к IP,mijgunz, 15:58 , 27-Окт-04
        
        Как в ipfw привязать MAC к IP,mijgunz, 16:01 , 27-Окт-04
        
        Как в ipfw привязать MAC к IP,alk, 16:35 , 27-Окт-04
        
        Как в ipfw привязать MAC к IP,mijgunz, 19:01 , 27-Окт-04
      - Как в ipfw привязать MAC к IP,Дмитрий Ю. Карпов, 20:36 , 27-Окт-04
        
        Как в ipfw привязать MAC к IP,alk, 13:41 , 28-Окт-04
        
        Как в ipfw привязать MAC к IP,alk, 13:45 , 28-Окт-04
        
        Как в ipfw привязать MAC к IP,mijgunz, 14:16 , 28-Окт-04

Сообщения в этом обсуждении

"Как в ipfw привязать MAC к IP"
Отправлено hromach , 18-Окт-04 13:48

никогда не думал что буду так отвечать
man arp

"Как в ipfw привязать MAC к IP"
Отправлено alk , 18-Окт-04 13:51

>никогда не думал что буду так отвечать
>man arp
Я же писал что мне надо привязку сделать через IPFW
arp -f file это и ежу понятно
через ipfw знаешь как?

"Как в ipfw привязать MAC к IP"
Отправлено alk , 18-Окт-04 17:52

>>никогда не думал что буду так отвечать
>>man arp
>
>Я же писал что мне надо привязку сделать через IPFW
>arp -f file это и ежу понятно
>через ipfw знаешь как?

Товарищи!!!
есть какое-нибудь предложение?

">есть какое-нибудь предложение? "
Отправлено poige , 18-Окт-04 19:38

>>>никогда не думал что буду так отвечать
>>>man arp
>>
>>Я же писал что мне надо привязку сделать через IPFW
>>arp -f file это и ежу понятно
>>через ipfw знаешь как?
>
>
>Товарищи!!!
>есть какое-нибудь предложение?
несомненно -- читать man'ы внимательнее:
"...
     net.link.ether.ipfw: 0
             Controls whether layer-2 packets are passed to ipfw.  Default is
             no.
..."
/poige
--
http://www.i.morning.ru/~poige/

"Как в ipfw привязать MAC к IP"
Отправлено A Clockwork Orange , 18-Окт-04 19:42

насколько я понимаю формат такой
ipfw add allow from ip_src to ip_dst MAC dst_mac src_mac
давай отсюда и до... плясать.
Дай ipfw l

"Как в ipfw привязать MAC к IP"
Отправлено Дмитрий Ю. Карпов , 18-Окт-04 22:08

Привязка к MAC-адресам - такое же бесперспективное занятие, как и привязка к IP-номерам и NetBIOS-именам, ибо всё это легко подделывается на стороне клиента. Если нужна надёжная защита - используй PPPoE или др.VPN.

"Как в ipfw привязать MAC к IP"
Отправлено alk , 19-Окт-04 09:56

>Привязка к MAC-адресам - такое же бесперспективное занятие, как и привязка к
>IP-номерам и NetBIOS-именам, ибо всё это легко подделывается на стороне клиента.
>Если нужна надёжная защита - используй PPPoE или др.VPN.
Я с тобой согласен можно использовать VPN,
управляемые switch, авторизацию в squid и т.д.
К сожалению все это мне не очень подходит
На самом деле нужно просто контролировать 3-х лоботрясов
чтобы не меняли IP
Чтобы поменять MAC у них мозгов не хватит
>насколько я понимаю формат такой
>ipfw add allow from ip_src to ip_dst MAC dst_mac src_mac
>давай отсюда и до... плясать.
>Дай ipfw l
ipfw add allow from ip_src to ip_dst MAC dst_mac src_mac
пишем
ipfw add 90 deny all from 192.168.50.250 to 192.168.50.211 mac dst-mac 00:a9:40:0f:9c:4f mac src-mac 00:0e:a6:45:0b:d4
Получаем
00090 0 0 deny ip from 192.168.50.250 to 192.168.50.211 MAC any 00:a9:40:0f:9c:4f MAC any 00:0e:a6:45:0b:d4
Правило стоит самым первым....
все равно проходит через фаервол
Пойду смотреть layer

"Как в ipfw привязать MAC к IP"
Отправлено A Clockwork Orange , 19-Окт-04 10:08

deny ip from 192.168.50.250 to 192.168.50.211 MAC any 00:a9:40:0f:9c:4f MAC any 00:0e:a6:45:0b:d4
адреса 192.168.50.250 и 192.168.50.211 в разных сетях и между ними рассматриваемый фаервол?

"Как в ipfw привязать MAC к IP"
Отправлено alk , 19-Окт-04 10:13

>>Привязка к MAC-адресам - такое же бесперспективное занятие, как и привязка к
>>IP-номерам и NetBIOS-именам, ибо всё это легко подделывается на стороне клиента.
>>Если нужна надёжная защита - используй PPPoE или др.VPN.
>
>Я с тобой согласен можно использовать VPN,
>управляемые switch, авторизацию в squid и т.д.
>К сожалению все это мне не очень подходит
>На самом деле нужно просто контролировать 3-х лоботрясов
>чтобы не меняли IP
>Чтобы поменять MAC у них мозгов не хватит
>
>>насколько я понимаю формат такой
>>ipfw add allow from ip_src to ip_dst MAC dst_mac src_mac
>>давай отсюда и до... плясать.
>>Дай ipfw l
>
>ipfw add allow from ip_src to ip_dst MAC dst_mac src_mac
>
>пишем
>ipfw add 90 deny all from 192.168.50.250 to 192.168.50.211 mac dst-mac 00:a9:40:0f:9c:4f
>mac src-mac 00:0e:a6:45:0b:d4
>Получаем
>00090 0
> 0 deny ip from 192.168.50.250 to 192.168.50.211 MAC any
>00:a9:40:0f:9c:4f MAC any 00:0e:a6:45:0b:d4
>Правило стоит самым первым....
>все равно проходит через фаервол
>
>Пойду смотреть layer
Все получилось всем спасибо.
Отдельная благоданость poige за пинок в нужном направлении
каюсь невнимательно вникал в man
net.link.ether.ipfw: 1
потом
ipfw add 100 deny all from 192.168.50.204 to 192.168.50.211 mac src-mac 00:0e:a6:45:0b:d4
и все работает!!!!!!!

"Как в ipfw привязать MAC к IP"
Отправлено alk , 19-Окт-04 10:34

>deny ip from 192.168.50.250 to 192.168.50.211 MAC any 00:a9:40:0f:9c:4f >MAC any 00:0e:a6:45:0b:d4
>адреса 192.168.50.250 и 192.168.50.211 в разных сетях и между ними >рассматриваемый фаервол?
192.168.50.250 машина лоботряса
192.168.50.211 gateway ( временный ip ) там же squid
суть вот в чем
Пользователи разбиты на группы в squidGuard
Лоботрясы страстные любители video mp3 porno
соответственно доступ жестко ограничен.
выходят они только со своих машин когда другие не работают ( выходные )
Меняют ip ( пример на бухгалтерские ) и попадают в другую группу. Полностью забить всю порнуху,
как ты понимаешь, невозможно.
Смотрю сводку sarg оказывается что бухгалтер просмотрела 200mb порнухи
за выходные. Не пойман не вор.
Сейчас сделаю что если поменяют ip то хрен они пройдут через ipfw
вот и все.

"Как в ipfw привязать MAC к IP"
Отправлено Loky , 19-Окт-04 11:08

>Меняют ip ( пример на бухгалтерские ) и попадают в другую группу.
>Смотрю сводку sarg оказывается что бухгалтер просмотрела 200mb порнухи
>за выходные. Не пойман не вор.
Были у нас шибко умные охранники, которые по ночам с буховских машин в инет ломились. Отключил сервак, показал ночные логи главбуху, и провел причинно-следственную связь. Как щас помню, было закрытие 4-го квартала. Умников уволили за 2 часа с вычетом материального ущерба из зп.
Если хочется технически, то прокси с авторизацией и ограничение выхода в инет рабочими часами полностью решает проблему.

"Как в ipfw привязать MAC к IP"
Отправлено screepah , 19-Окт-04 14:03

>Если хочется технически, то прокси с авторизацией и ограничение выхода в инет
>рабочими часами полностью решает проблему.
Точно. И еще административно дать рекомендацию - не ставить галочку сохранения пароля, с обьяснениями почему. Работает на ура.

"Как в ipfw привязать MAC к IP"
Отправлено alk , 19-Окт-04 17:20

Моя радость по поводу решения данной проблемки
оказалась несколько преждевременной
итого что сделал
alk# sysctl net.link.ether.ipfw=1
sysctl.conf
net.link.ether.ipfw=1
ipfw
${ipfw} add allow all from 192.168.50.250 to 192.168.50.211 mac src-mac 00:0e:a6:45:0b:d4 in via fxp0
${ipfw} add deny all from ${my_net} to 192.168.50.211 mac src-mac 00:0e:a6:45:0b:d4 in via fxp0
где src-mac это mac 192.168.50.250
fxp0 -смотрит в local
Теперь при изменении IP 192.168.50.250 на любой другой клиента ждет
разочарование
НО...
через 1 час работы затыкается ( вроде как ) интерфейс
смотрящий в инет fxp1
схема
local -- fxp0--FreeBSD5.2.1-fxp1 --- inet
tcpdump -i fxp1 показывает пустоту
ping во внутреннюю сетку с fxp0 ( 192.168.50.211) идет без проблем
после перезагрузки машины эффект тот же
делаем
sysctl net.link.ether.ipfw=0
не помогает
закомментарил net.link.ether.ipfw=1 в sysctl.conf
перегружаем.... все работает
ЧТО надо посмотреть в системе чтобы оценить что происходит?

"Как в ipfw привязать MAC к IP"
Отправлено Loky , 19-Окт-04 17:43

>Моя радость по поводу решения данной проблемки
>оказалась несколько преждевременной
Не городи огород. Запрети любой выход в инет после окончания рабочего дня.

"Как в ipfw привязать MAC к IP"
Отправлено alk , 19-Окт-04 17:49

>>Моя радость по поводу решения данной проблемки
>>оказалась несколько преждевременной
>
>Не городи огород. Запрети любой выход в инет после окончания рабочего дня.
>
Уже так и сделал
однако хочется знать почему глючит?
когда-нибудь, я думаю, пригодится

"Как в ipfw привязать MAC к IP"
Отправлено Loky , 19-Окт-04 18:14

>>>Моя радость по поводу решения данной проблемки
>>>оказалась несколько преждевременной
>>
>>Не городи огород. Запрети любой выход в инет после окончания рабочего дня.
>>
>
>Уже так и сделал
>однако хочется знать почему глючит?
>когда-нибудь, я думаю, пригодится
криво настроил, вот и глючит.
такое не пригодится, проще pptp организовать.

"Как в ipfw привязать MAC к IP"
Отправлено alk , 19-Окт-04 18:21

>криво настроил, вот и глючит.
>такое не пригодится, проще pptp организовать.
Криво настроил... по кокнкретнее можно?

"Как в ipfw привязать MAC к IP"
Отправлено alk , 27-Окт-04 13:15

Все получилось
итак...
IP= 192.168.50.33  mac 00:0e:a6:45:0b:d4
адрес нашего любителя менять IP
sysctl.conf
net.link.ether.ipfw=1
ipfw
${ipfw} 10 add skipto 40 ip from 192.168.50.33 to any layer2 in via fxp0
${ipfw} 11 add skipto 100 ip from any to any not layer2
${ipfw} 20 add deny ip from ${my_net} to any mac src-mac 00:0e:a6:45:0b:d4  in via fxp0
любой IP из сети my_net с src-mac принадлежащий 192.168.50.33 > deny
${ipfw} 40 add allow  ip from any to any MAC any any
результат
00010  114  26193 skipto 40 ip from 192.168.50.33 to any layer2 in via fxp0
00011  817 207757 skipto 100 ip from any to any not layer2
00020    6    654 deny ip from 192.168.50.0/24 MAC any 00:0e:a6:45:0b:d4 any in via fxp0
00040  703 195885 allow ip from any to any MAC any any
все остальные правила ipfw

Работает эта схема с понедельника
можно еще сделать fwd на squid

"Как в ipfw привязать MAC к IP"
Отправлено A Clockwork Orange , 27-Окт-04 14:34

Можешь статейку нарисовать.

"Как в ipfw привязать MAC к IP"
Отправлено alk , 27-Окт-04 15:08

>Можешь статейку нарисовать.
Ага! и меня запинают ногами на предмет
что это не решает проблемы... ставь упр switch и т.д.

"Как в ipfw привязать MAC к IP"
Отправлено A Clockwork Orange , 27-Окт-04 15:20

управляемый коммутатор закрепляет мак
не стесняйся

"Как в ipfw привязать MAC к IP"
Отправлено mijgunz , 27-Окт-04 15:58

>управляемый коммутатор закрепляет мак
>не стесняйся

Не мог бы пояснить поподробнее свои правила. Я что-то никак врубится не могу.
Мне нужно в правилах открывающий инет для каждого пользователя ставить его IP. Вот тоже наткнулся на тот эффект, что пакеты стали пропадать. Видать я не понимаю логику фильтрации с Laer2. Если тебе удалось ее постич - поделись плиз.

"Как в ipfw привязать MAC к IP"
Отправлено mijgunz , 27-Окт-04 16:01

Опечатка
Не мог бы пояснить поподробнее свои правила. Я что-то никак врубится не
могу.
Мне нужно в правилах открывающий инет для каждого пользователя ставить его MAC.
Вот тоже наткнулся на тот эффект, что пакеты стали пропадать. Видать
я не понимаю логику фильтрации с Laer2. Если тебе удалось ее
постич - поделись плиз.

"Как в ipfw привязать MAC к IP"
Отправлено alk , 27-Окт-04 16:35

>Опечатка
>
>Не мог бы пояснить поподробнее свои правила. Я что-то никак врубится не
>
>могу.
>Мне нужно в правилах открывающий инет для каждого пользователя ставить его MAC.
>
>Вот тоже наткнулся на тот эффект, что пакеты стали пропадать. Видать
>я не понимаю логику фильтрации с Laer2. Если тебе удалось ее
>постич - поделись плиз.
покажи ipfw sh
а то я что-то не совсем понял суть вопроса

"Как в ipfw привязать MAC к IP"
Отправлено mijgunz , 27-Окт-04 19:01

Список здоровый но суть такая. Сервер работает как шлюз для локальной сети. В локальной сети как "серые" так и нормальные IP.
Сначало идут некоторые запрещающие правила
Потом диверт:
${fwcmd} add 450 divert natd all from any to any via ${natd_interface}
Потом правила которые регулируют доступ к сервисам этого сервиса.
Потом уже включаются правила правила для каждого ip в этой сети:
${fwcmd} add 6000 pass all from 192.168.10.1 to any
${fwcmd} add 6001 pass all from any to 192.168.10.1
...
Хочу в правилах для клиентов использовать и их MAC. Когда попытался сделать, то наткнулся на такое же поведение как и у тебя в первой попытке. Пакеты начали терятся и трафик перестал идти, поэтому откатился назад. Вот и хочется понять идеологию.
>>Опечатка
>>
>>Не мог бы пояснить поподробнее свои правила. Я что-то никак врубится не
>>
>>могу.
>>Мне нужно в правилах открывающий инет для каждого пользователя ставить его MAC.
>>
>>Вот тоже наткнулся на тот эффект, что пакеты стали пропадать. Видать
>>я не понимаю логику фильтрации с Laer2. Если тебе удалось ее
>>постич - поделись плиз.
>
>покажи ipfw sh
>а то я что-то не совсем понял суть вопроса

"Как в ipfw привязать MAC к IP"
Отправлено Дмитрий Ю. Карпов , 27-Окт-04 20:36

Ставишь HTTP-Proxy (Squid) и на нём запрещаешь конкретно доступ к MP3. А ipfw нужен для того, чтобы закрыть прямой доступ (минуя HTTP-Proxy).

"Как в ipfw привязать MAC к IP"
Отправлено alk , 28-Окт-04 13:41

Вот несколько ссылок
1. http://news.gw.com/freebsd.isp/9412
2.http://www.m0n0.ch/wall/list/?action=show_msg&actionargs...
3. http://bsdsearch.com/eao/phorum/read.php?f=38&i=2977&t=2977
man ipfw
“Всегда используется Законченный набор правил, НЕЗАВИСИМО от МЕСТА, из
которого вызван ipfw, или адреса-источника пакета. Если правило содержит
некоторые образцы соответствия или действия, которые НЕ ДОПУСТИМЫ для
МЕСТА вызова (например, требующие соответствия MAC заголовка, если ipfw
вызывают из ip_input ()), образец соответствия НЕ БУДЕТ соответствовать.
Однако оператор not перед такими образцами заставит образец ВСЕГДА
соответствовать на тех пакетах, которые могли бы вызвать нежелательные
результаты. ( 3 ссылка) Таким образом, на ответственности программиста в случае
необходимости записывать подходящий набор правил для ДИФФЕРЕНЦИРОВАНИЯ
среди возможных мест. Здесь может быть полезно правило skipto”
Идеология ( как я ее понял )
если  net.link.ether.ipfw=1
то необходимо писать правила layer2(MAC)  для ВСЕХ сетевых интерфейсов
и они должны быть дифференцированы относительно
обычных правил ipfw  ( skipto)  Хотя это и не обязательно – можно и так извернуться
Таким образом  в  ipfw  должен  быть определен набор правил  allow, deny для уровня  layer2 ( MAC) при этом ПОСЛЕДНЕЕ правило в наборе где идет проверка MAC должно быть
Allow(deny)  ip from any to any MAC any any
или
allow(deny) ip from any to any layer2 via xxx
Допустим у нас есть три интерфейса fxp0 rl0 и xl0
Мы хотим cделать проверку layer2(MAC) на fxp0  а на других интрефейсах
Нам этого не надо.
1.Вариант
allow ip from any to any layer2 via rl0
allow ip from any to any layer2 via xl0
правила для fxp0
……
Deny mac
Deny mac-type
allow ip from any to any layer2 via fxp0
2. Вариант
равнозначное правило
allow ip from any to any layer2 not via fxp0
правила для fxp0
……
Deny mac
Deny mac-type
allow ip from any to any layer2 via fxp0
здесь есть много вариантов, например
пропускать через fxp только заданные MAC IP и т.д.
почитай ссылкам
пример из http://www.m0n0.ch/wall/list/?action=show_msg&actionargs...
20002 deny ip from 192.168.8.2 not MAC any 00:0c:f1:08:97:48 any layer2 in
20002 deny ip from any to 192.168.8.2 not MAC 00:0c:f1:08:97:48 any layer2 out
29900 allow ip from any to any layer2
……..
В твоем случае это может  выглядеть так
Ip 192.168.50.250 его MAC  00:0e:a6:45:0b:d4
${ipfw} add allow all from 192.168.50.250 to any  mac src-mac 00:0e:a6:45:0b:d4  via fxp0
…..
${ipfw} add deny all from any to any  layer2 via fxp0
Т.е через fxp0 пройдут только указанные ip с указанным src-mac
Но, еще раз повторюсь, если у тебя есть другие интерфейсы и ты для них не указал
Разрешающие правила на уровне layer2  то  нас ждет облом  ( причем не сразу,
Как ты уже заметил,  а через некоторое время)
Сейчас подробно разберу работу моих правил
Задача:
Если user vasy с IP 192.168.50.33 и MAC 00:0e:a6:45:0b:d4  изменит свой IP
на ЛЮБОЙ другой >> deny ipfw
Старый набор правил
${ipfw} 10 add skipto 40 ip from 192.168.50.33 to any layer2 in via fxp0
${ipfw} 11 add skipto 100 ip from any to any not layer2
${ipfw} 20 add deny ip from ${my_net} to any mac src-mac 00:0e:a6:45:0b:d4  in via fxp0
${ipfw} 40 add allow  ip from any to any MAC any any
Новый набор правил более оптимизированный ( работает со вчерашнего вечера )
Его и рассмотрим
${ipfw} 1 add skipto 100 ip from any to any not layer2
${ipfw} 5 add allow ip from any to any layer2 not via fxp0
${ipfw} 10 add skipto 40 ip from 192.168.50.33 to any layer2 in via fxp0
${ipfw} 20 add deny ip from ${my_net} to any mac src-mac 00:0e:a6:45:0b:d4  in via fxp0
${ipfw} 40 add allow  ip from any to any layer2 via fxp0

Fxp0   внутренний интерфейс локальной сети ( остальные fxp1, fxp2 )
My_net = 192.168.50.0/24

                to upper layers   V
                 |                         |
                 +----------->-----------+
                 ^                       V
       2   [ip_input]              [ip_output]                3              net.inet.ip.fw.enable=1
                 |                         |
                 ^                       V
       1   [ether_demux]    [ether_output_frame]   4             net.link.ether.ipfw=1
                 |                          |
       0         +-->--[bdg_forward]-->--+   0                          net.link.ether.bridge_ipfw=1
                 ^                       V
                 |      to devices    |
Если  net.link.ether.ipfw=0   то  пункты  1,4  ipfw не проверяет
Если net.link.ether.ipfw=1  то 1,2,3,4
${ipfw} 1 add skipto 100 ip from any to any not layer2
${ipfw} 5 add allow ip from any to any layer2 not via fxp0
${ipfw} 10 add skipto 40 ip from 192.168.50.33 to any layer2 in via fxp0
${ipfw} 20 add deny ip from ${my_net} to any mac src-mac 00:0e:a6:45:0b:d4  in via fxp0
${ipfw} 40 add allow  ip from any to any layer2 via fxp0
Итак прибегает пакет IP 192.168.50.1 на fxp0  ( см. пункт 1 )
1.    правило 1 “ перейти на правило 100 если пакет не принадлежит layer2”
Результат:
Пакет еще на пункте 1 стоит поэтому это правило не сработает.
2.    правило 5 “ разрешить все пакеты layer2 на всех интерфейсах за
исключением  fx

"Как в ipfw привязать MAC к IP"
Отправлено alk , 28-Окт-04 13:45

Блин не влезло все
${ipfw} 1 add skipto 100 ip from any to any not layer2
${ipfw} 5 add allow ip from any to any layer2 not via fxp0
${ipfw} 10 add skipto 40 ip from 192.168.50.33 to any layer2 in via fxp0
${ipfw} 20 add deny ip from ${my_net} to any mac src-mac 00:0e:a6:45:0b:d4  in via fxp0
${ipfw} 40 add allow  ip from any to any layer2 via fxp0
Итак прибегает пакет IP 192.168.50.1 на fxp0  ( см. пункт 1 )
1.    правило 1 “ перейти на правило 100 если пакет не принадлежит layer2”
Результат:
Пакет еще на пункте 1 стоит поэтому это правило не сработает.
2.    правило 5 “ разрешить все пакеты layer2 на всех интерфейсах за
исключением  fxp0”
Результат:
Пакет как раз и пришел на fxp0:  правило не сработает
3.    правило 10 “ перейти на правило 40  если IP 192.1668.50.33 in via fxp0”
Результат:
У нас пакет с другим IP правило не сработает
      4.    правило 20 “deny IP с МАС адресом таким-то”
             Результат:
             У нас  другой src-mac поэтому правило не сработает
      5.   Правило 40 “ Разрешить все пакеты layer2 ( т.е. пункт1) на интрфейсе fxp0
            Результат:
            В яблочко!!! Правило сработало теперь пакет перешел на пункт 2 ( см. картинку)
       6.  пакет опять вводится в ipfw
       7.   правило 1 “ перейти на правило 100 если пакет не принадлежит layer2”
Результат:
             Layer2 мы уже прошли поэтому данное правило срабатывает и
             Отправляет нас на правило 100 с которого начинается мой обычный ipfw
Вот такая идеология….
А теперь прогони через эти правила  IP = 192.168.50.33
И, к примеру,  IP=192.168.50.82 src-mac 00:0e:a6:45:0b:d4
и я надеюсь что все станет понятно
если что пиши
твои правила примерно будут выглядеть так

Допустим что твой ipfw  начинается с правила под номером 100
У тебя два интерфейса и фильтровать ты хочешь только fxp0
Тогда
${ipfw} 10 add skipto 100 ip from any to any not layer2
${ipfw}  20add allow ip from any to any layer2 not via fxp0
Т.е. на других интерфейсах MAC фильтровать не будем
${ipfw} 30 add allow all from 192.168.50.250 to any  mac src-mac 00:0e:a6:45:0b:d4  via fxp0
…..
…..   пропускаем указанные IP с соответствующими MAC
…..
${ipfw} 80 add deny all from any to any  layer2 via fxp0
Остальные, отсутствующие в нашем списке – могут расслабиться
Далее  идут правила начиная  с номера 100
Вроде все… удачи!

"Как в ipfw привязать MAC к IP"
Отправлено mijgunz , 28-Окт-04 14:16

Спасибо за ответ!
Вроде все понятно. Буду экспериментировать сегодня.