OpenForum RSS: Улучшена поддержка таблиц в при фильтрации по MAC адресам в ipfw2 https://opennet.me/openforum/vsluhforumID3/45537.html "ipfw: layer2 lookup tables (http://blogs.freebsdish.org/gleb/2008/11/23/ipfw-layer2-lookup-tables/)" - Gleb Kurtsou улучшил поддержку таблиц в при фильтрации по MAC адресам в ipfw2. Например, стало возможно привязывать mac адрес к IP подсети, расширены возможности использования таблиц, например:<br><br><br><br><br>ipfw table 1 add 192.168.1.0/24 ether 00:11:11:11:11:11<br>ipfw table 1 add 192.168.1.0/24 ether 00:22:22:22:22:22<br>ipfw table 1 add 192.168.1.0/24 ether 00:33:33:33:33:33<br><br># equivalent to: ipfw table 2 add any ether ...<br>ipfw table 2 add ether 00:11:11:11:11:11<br>ipfw table 2 add ether 00:22:22:22:22:22<br>ipfw table 2 add ether 00:33:33:33:33:33<br>ipfw table 2 add ether ff:ff:ff:ff:ff:ff<br><br>ipfw add 1000 allow ip from 'table(2)' to 'table(2)' layer2<br><br># layer3<br>ipfw add 2000 allow ip from 'table(1)' to 'table(1)'<br><br><br><br><br>URL: http://blogs.freebsdish.org/gleb/2008/11/23/ipfw-layer2-lookup-tables/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=19058<br> Улучшена поддержка таблиц в при фильтрации по MAC адресам в ... (Gleb Kurtsou) https://opennet.me/openforum/vsluhforumID3/45537.html#13 Fri, 17 Jul 2009 19:49:53 GMT Поддержка MAC'ов к pf уже тоже давно прикручена.<br> Улучшена поддержка таблиц в при фильтрации по MAC адресам в ... (Gleb Kurtsou) https://opennet.me/openforum/vsluhforumID3/45537.html#12 Fri, 17 Jul 2009 19:47:57 GMT Угу. А есть еще дебилы-провайдеры которые привязывают пользователя к маку и секъюрити здесь не причем. У вас в тайге наверное таких еще нет.<br> Улучшена поддержка таблиц в при фильтрации по MAC адресам в ... (PereresusNeVlezaetBuggy) https://opennet.me/openforum/vsluhforumID3/45537.html#11 Mon, 24 Nov 2008 15:39:39 GMT &gt;&gt;И повторю свой тезис: не стоит мешать уровни OSI... <br>&gt;<br>&gt;Ну в там случае использовать железячный МАК логичнее... <br><br>Если речь идёт об одном сегменте сети, то да. Правда, не могу придумать ни одного случая подобной необходимости. Если же речь идёт о логической адресации (когда не хочется забивать себе голову тем, сколько свичей стоит между маршрутизатором и хостом), то это уже, очевидно, вотчина 3-го уровня.<br> Улучшена поддержка таблиц в при фильтрации по MAC адресам в ... (SunRock) https://opennet.me/openforum/vsluhforumID3/45537.html#10 Mon, 24 Nov 2008 15:33:58 GMT Угу - есть ещё дебилы в самых отдалённых местечках таймырской тайги, которые IP-шники по ярангам раздают ручками с записью в тетрадке или ехеле ... народ из побаивается и кличет шаманами. 8-\<br> Улучшена поддержка таблиц в при фильтрации по MAC адресам в ... (RapteR) https://opennet.me/openforum/vsluhforumID3/45537.html#9 Mon, 24 Nov 2008 15:14:59 GMT &gt;И повторю свой тезис: не стоит мешать уровни OSI... <br><br>Ну в там случае использовать железячный МАК логичнее...<br> Улучшена поддержка таблиц в при фильтрации по MAC адресам в ... (PereresusNeVlezaetBuggy) https://opennet.me/openforum/vsluhforumID3/45537.html#8 Mon, 24 Nov 2008 15:04:49 GMT &gt;все равно нафиг не нужен в данном случае DHCP - зачем мне <br>&gt;систему грузить лишними демонами, если ipfw все сам умеет, тем более <br>&gt;это удобно использовать для сбора статистики втыкая груба говоря в разрыв <br>&gt;кабеля такой прозрачный шлюз и по макам группировать трафик... <br><br>Ну, если dhcpd - это очень большая нагрузка на систему... ;) Хотя, возможно, в каком-то экстремальном случае (типа совсем-совсем embedded) это может быть оправдано, согласен.<br><br>А вот шлюз может прекрасно фильтровать по IP. Более того, таких решений намного больше. И удобнее это делать по IP, т.к. можно оперировать подсетями или просто блоками адресов. Например: блок 192.168.5/24 - бухгалтерия, блок 192.168.6/24 - продав... сорри, манагеры:) и т.д.<br><br>И повторю свой тезис: не стоит мешать уровни OSI...<br> Улучшена поддержка таблиц в при фильтрации по MAC адресам в ... (RapteR) https://opennet.me/openforum/vsluhforumID3/45537.html#7 Mon, 24 Nov 2008 14:57:24 GMT все равно нафиг не нужен в данном случае DHCP - зачем мне систему грузить лишними демонами, если ipfw все сам умеет, тем более это удобно использовать для сбора статистики втыкая груба говоря в разрыв кабеля такой прозрачный шлюз и по макам группировать трафик...<br> Улучшена поддержка таблиц в при фильтрации по MAC адресам в ... (PereresusNeVlezaetBuggy) https://opennet.me/openforum/vsluhforumID3/45537.html#6 Mon, 24 Nov 2008 12:33:46 GMT &gt;&gt;Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой) <br>&gt;&gt;и фильтровать, как и все нормальный люди, по IP? Всё-таки не <br>&gt;&gt;стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :) <br>&gt;<br>&gt;я злой вася пупкин, очень продвинутый юзер. взял и отключил у себя <br>&gt;дхцп клиента и прописал ручками себе ип. что дальше? тем более <br>&gt;не надо так узко рассматривать таблицы маков только как средство для <br>&gt;контролера за машинками в локалке. <br><br>А я - злой Вася Скалкин, взял да и поменял MAC на сетевухе.<br><br>Читайте внимательнее, пожалуйста, речи о том, что данное решение можно использовать как полноценную защиту, не было.<br> Улучшена поддержка таблиц в при фильтрации по MAC адресам в ... (RapteR) https://opennet.me/openforum/vsluhforumID3/45537.html#5 Mon, 24 Nov 2008 11:56:20 GMT &gt;Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой) <br>&gt;и фильтровать, как и все нормальный люди, по IP? Всё-таки не <br>&gt;стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :) <br><br>я злой вася пупкин, очень продвинутый юзер. взял и отключил у себя дхцп клиента и прописал ручками себе ип. что дальше? тем более не надо так узко рассматривать таблицы маков только как средство для контролера за машинками в локалке.<br>