The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"freebs6+ipfw+mac+bridge"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"freebs6+ipfw+mac+bridge"  
Сообщение от sect0id email(ok) on 21-Фев-08, 18:27 
Здравствуйте граждане!
Имеется мост на freebsd, и появилась необходимость привязать ip к mac и управлять этим делом в файоволе
есть два интерфейса, em0 em1(без ип)

cloned_interfaces="bridge0"
ifconfig_bridge0="addm em0 addm em1 up"
ifconfig_em1="up"
ifconfig_em0="inet 83.102.165.12 netmask 255.255.255.240 up"


делаю:
ipfw add 1000 allow ip from any to any mac 00:17:9a:fb:f3 any
ipfw add 1002 allow ip from any to any mac any 00:17:9a:fb:f3

если я правильно понял это значит пропускать все пакеты с данными маком куда угодно и откуда угодно
но правила не работают

в sysctl добавлено:
net.link.ether.bridge.enable=1
net.link.ether.bridge.config=em1,em0
net.link.ether.bridge.ipfw=1

еще пишут что надо включить
net.link.ether.ipfw=1
но если делаю - ссш по которому сижу вырубается

arp -s ip mac делаю

вроде бы всё...

но наработает
куда копать граждане?
мучаюсь уже целый день

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "freebs6+ipfw+mac+bridge"  
Сообщение от PavelR (??) on 21-Фев-08, 19:23 
>
>делаю:
>ipfw add 1000 allow ip from any to any mac 00:17:9a:fb:f3 any
>
>ipfw add 1002 allow ip from any to any mac any 00:17:9a:fb:f3

Остальные правила не получается угадать, слишком сильна броня.

>
>
>если я правильно понял это значит пропускать все пакеты с данными маком
>куда угодно и откуда угодно
>но правила не работают
>еще пишут что надо включить
>net.link.ether.ipfw=1
>но если делаю - ссш по которому сижу вырубается

Судя по этому - очень даже и работают  ваши правила, когда их включают ;-)
Просто они разрешают прохождение пакетов на уровень выше, в уровень IP, где благополучно могут быть вырезаны другими правилами уровня IP.

man ipfw - там есть картинка, глядя на которую должно стать понятно что к чему.

>[оверквотинг удален]
>net.link.ether.ipfw=1
>но если делаю - ссш по которому сижу вырубается
>
>arp -s ip mac делаю
>
>вроде бы всё...
>
>но наработает
>куда копать граждане?
>мучаюсь уже целый день

Чтобы не мучаться, надо читать документацию. И эти слова - не пустой звук. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру