URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 3010
[ Назад ]
Исходное сообщение
"Тематический каталог: FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено auto_topic , 27-Дек-03 03:03 
Обсуждение статьи тематического каталога: FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)

Ссылка на текст статьи: https://www.opennet.ru/base/net/FilterBridge.txt.html

Содержание
Сообщения в этом обсуждении
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено доброжелатель , 27-Дек-03 03:03 
Из http://info.iet.unipi.it/~luigi/ip_dummynet/
:
sysctl -w net.inet.ip.fw.one_pass=0
Forces a single pass through the firewall.
If set to 0, packets coming out of a pipe will
be reinjected into the firewall starting with
the rule after the matching one.
NOTE: there is always one pass for bridged packets.

Стало быть для мостиков shaper+bridge не канает...
И правда! По крайне мере до версии 4.8 так всё и есть, либо shaper, либо bridge.
Как там у вас проводились "примерные замеры производительности" без "замеров" работоспособности для меня остаётся загадкой =)))

"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено доброжелатель , 27-Дек-03 03:22 
ах да, незнаю как у Вас, а у меня дык с ARP'ом итак ффсё ништяк.
Без фсяких ipfw add 1 allow udp from 0.0.0.0 2054 to 0.0.0.0 более того,
с этим правилом у меня ВАЩЕ ни один пакет не совпал. ?!? странно =)))
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd b..."
Отправлено butcher , 24-Фев-04 10:09 
это фича работала до 4.4 включительно, дальше (говорю про 4.7) её убрали.. маны читать нужно..
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd b..."
Отправлено Spider , 15-Июл-05 21:31 
Как теперь фильтровать ETH?
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено Aleksei , 14-Фев-04 22:07 
interesno a mozno odnovremenno ispol'zovayt' most s marshrutizatorom, t.e. filtrovat' trafik dlja vneshnih IP provaidera i razdavat' inet po localke
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено Spyshoper , 29-Фев-04 01:18 
прошу ответить на
вопрос. можно ли получить доступ(и как это настроить) по телнету к одному из
интерфейсов в
мосте одновременно из внешней и внутренней сети... просто у меня
возникла ситуация когда люди из внутринней сети могут пинговать
интерфейс(тот который с айпишником) а люди во внешней сети не могут.
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено ALCOOL , 25-Май-04 00:50 
смотри правила ipfw - где-то вкралась ошибка. И telnet - плохо. Юзай ssh
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено Nerian , 05-Сен-04 14:05 
У меня тож такая проблема что истерфесй который с айпишником из внешней сети не пингуеться, в фаерволе я использую следующее правило:
ipfw -q add 1000 allow from any to any
Что можно сделать?
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено Halt , 10-Окт-05 15:15 
Handbook forever
пока не прописал в sysctl.conf:
net.link.ether.bridge_cfg=if1,if2
не заработало.
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено SekaTOP , 13-Окт-05 15:34 
Вопрос: Можно ли на мосту создать статическую ARP таблицу привязки IP к MAC, чтобы непрописанные в ней юзеры не могли "пробиться" дальше моста.
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd b..."
Отправлено _Nick_ , 13-Окт-05 21:24 
>Вопрос: Можно ли на мосту создать статическую ARP таблицу привязки IP к
>MAC, чтобы непрописанные в ней юзеры не могли "пробиться" дальше моста.
>

вырубаешь ARP на интерфейсе и прописываешь статику.
Все. Танки не пройдут.

"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd b..."
Отправлено SekaTOP , 14-Окт-05 11:39 
это и ежу понятно. Но в этом случае придется на клиентских машинах прописывать шлюзом IP интерфейса моста (хотя мост вполне может работать и без поднятого интерфейса), а на самом мосту прописывать gateway и запрещать доступ к нему в ipfw. В этом случае проще сразу поднимать роутер, а это сделать проблематично, т.к. нарушится структура действующей сети.
Необходимо на мосту сделать привязку клиетских IP к MAC и несоответствующие адреса не пускать дальше моста.
Есть идеи?
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd b..."
Отправлено _Nick_ , 14-Окт-05 19:50 
ok SekaTOP,

если серьезно, то сходу - ARPtables в Линухе.
Бздю я зыбыл 2 года назад, но ARPtables не пришлось попробовать.

Хочешь - поковыряй. Нет - я в саду %)

"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено Yukka , 06-Сен-07 20:30 
А как завернуть проходящий траффик на прокси?
"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd b..."
Отправлено LM , 08-Сен-07 09:23 
>А как завернуть проходящий траффик на прокси?

google: squid transparent proxy

То что тебе надо назваеться прозрачный прокси

"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено Yukka , 10-Сен-07 12:42 
Все бы были такими умными. Во ФрееБСД в режиме бриджа не работает  ни ipfw divert ни ipfw forward. А теперь повторюсь:

"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd b..."
Отправлено Yukka , 10-Сен-07 12:46 
>Все бы были такими умными. Во ФрееБСД в режиме бриджа не работает
> ни ipfw divert ни ipfw forward. А теперь повторюсь:

Как в режиме бриджа завернуть трафик на прокси?

"FreeBSD Создание моста-фильтра на основе FreeBSD. (freebsd bridge firewall filter route ipfw)"
Отправлено Wedmed , 22-Янв-08 13:49 
в FreeBSD 6.2 команда
# sysctl -w net.link.ether.bridge=1
выдает ошибку
net.link.ether.bridge isn't a leaf node
вместо нее сейчас видимо
# sysctl -w net.link.ether.bridge.enable=1