The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от opennews (ok) on 24-Ноя-08, 13:58 
"ipfw: layer2 lookup tables (http://blogs.freebsdish.org/gleb/2008/11/23/ipfw-layer2-look.../)" - Gleb Kurtsou улучшил поддержку таблиц в при фильтрации по MAC адресам в ipfw2. Например, стало возможно привязывать mac адрес к IP подсети, расширены возможности использования таблиц, например:


ipfw table 1 add 192.168.1.0/24 ether 00:11:11:11:11:11
ipfw table 1 add 192.168.1.0/24 ether 00:22:22:22:22:22
ipfw table 1 add 192.168.1.0/24 ether 00:33:33:33:33:33

# equivalent to: ipfw table 2 add any ether ...
ipfw table 2 add ether 00:11:11:11:11:11
ipfw table 2 add ether 00:22:22:22:22:22
ipfw table 2 add ether 00:33:33:33:33:33
ipfw table 2 add ether ff:ff:ff:ff:ff:ff

ipfw add 1000 allow ip from 'table(2)' to 'table(2)' layer2

# layer3
ipfw add 2000 allow ip from 'table(1)' to 'table(1)'


URL: http://blogs.freebsdish.org/gleb/2008/11/23/ipfw-layer2-look.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=19058

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от Осторожный (ok) on 24-Ноя-08, 13:58 
Лучше бы новый pf портировали из OpenBSD
И вставили туда поддержку MAC ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от RapteR email(ok) on 24-Ноя-08, 14:22 
Ну так и сидите в OpenBSD, кто мешает то?)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 24-Ноя-08, 14:54 
Ну так не всем нравится. Да и другие ограничения бывают: например, я ещё не видел, чтобы кто-то смог завести Oracle по опёнком. :(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от Gleb Kurtsou on 17-Июл-09, 23:49 
Поддержка MAC'ов к pf уже тоже давно прикручена.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 24-Ноя-08, 14:53 
Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой) и фильтровать, как и все нормальный люди, по IP? Всё-таки не стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от RapteR email(ok) on 24-Ноя-08, 14:56 
>Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой)
>и фильтровать, как и все нормальный люди, по IP? Всё-таки не
>стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)

я злой вася пупкин, очень продвинутый юзер. взял и отключил у себя дхцп клиента и прописал ручками себе ип. что дальше? тем более не надо так узко рассматривать таблицы маков только как средство для контролера за машинками в локалке.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 24-Ноя-08, 15:33 
>>Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой)
>>и фильтровать, как и все нормальный люди, по IP? Всё-таки не
>>стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)
>
>я злой вася пупкин, очень продвинутый юзер. взял и отключил у себя
>дхцп клиента и прописал ручками себе ип. что дальше? тем более
>не надо так узко рассматривать таблицы маков только как средство для
>контролера за машинками в локалке.

А я - злой Вася Скалкин, взял да и поменял MAC на сетевухе.

Читайте внимательнее, пожалуйста, речи о том, что данное решение можно использовать как полноценную защиту, не было.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от RapteR email(ok) on 24-Ноя-08, 17:57 
все равно нафиг не нужен в данном случае DHCP - зачем мне систему грузить лишними демонами, если ipfw все сам умеет, тем более это удобно использовать для сбора статистики втыкая груба говоря в разрыв кабеля такой прозрачный шлюз и по макам группировать трафик...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 24-Ноя-08, 18:04 
>все равно нафиг не нужен в данном случае DHCP - зачем мне
>систему грузить лишними демонами, если ipfw все сам умеет, тем более
>это удобно использовать для сбора статистики втыкая груба говоря в разрыв
>кабеля такой прозрачный шлюз и по макам группировать трафик...

Ну, если dhcpd - это очень большая нагрузка на систему... ;) Хотя, возможно, в каком-то экстремальном случае (типа совсем-совсем embedded) это может быть оправдано, согласен.

А вот шлюз может прекрасно фильтровать по IP. Более того, таких решений намного больше. И удобнее это делать по IP, т.к. можно оперировать подсетями или просто блоками адресов. Например: блок 192.168.5/24 - бухгалтерия, блок 192.168.6/24 - продав... сорри, манагеры:) и т.д.

И повторю свой тезис: не стоит мешать уровни OSI...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от RapteR email(ok) on 24-Ноя-08, 18:14 
>И повторю свой тезис: не стоит мешать уровни OSI...

Ну в там случае использовать железячный МАК логичнее...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 24-Ноя-08, 18:39 
>>И повторю свой тезис: не стоит мешать уровни OSI...
>
>Ну в там случае использовать железячный МАК логичнее...

Если речь идёт об одном сегменте сети, то да. Правда, не могу придумать ни одного случая подобной необходимости. Если же речь идёт о логической адресации (когда не хочется забивать себе голову тем, сколько свичей стоит между маршрутизатором и хостом), то это уже, очевидно, вотчина 3-го уровня.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от SunRock on 24-Ноя-08, 18:33 
Угу - есть ещё дебилы в самых отдалённых местечках таймырской тайги, которые IP-шники по ярангам раздают ручками с записью в тетрадке или ехеле ... народ из побаивается и кличет шаманами. 8-\
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Улучшена поддержка таблиц в при фильтрации по MAC адресам в ..."  +/
Сообщение от Gleb Kurtsou on 17-Июл-09, 23:47 
Угу. А есть еще дебилы-провайдеры которые привязывают пользователя к маку и секъюрити здесь не причем. У вас в тайге наверное таких еще нет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру