Dotaz ohledne IPFW

Dan Lukes dan at obluda.cz
Sat Jan 29 11:56:19 CET 2005

Previous message: Dotaz ohledne IPFW
Next message: Dotaz ohledne IPFW
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Ladislav x wrote:
> Potreboval bych presmerovat trafik podle MAC adresy.
> Zkousel jsem pravidlo:
> ipfw add fwd 10.24.28.193,80 all from any to any 80 MAC any
> 00:04:75:B6:31:63
> 
> sice ipfw vezme jako spravne a prida do sve tabulky filtrovacich
> pravidel, ale pravidlo nefunguje. 

> podle MAC adres. Vedel by mi nekdo poradit zda to funguje a co delam
> spatne?

	Ono to neni tak uplne jednoduche na vysvetleni, pokud nejste ani trochu 
seznamem s tim, jak vlastne pakety po kernelu cestuji.

	Ono je to v manualove strance od IPFW v potrebne mire popsane - ale 
pokud jste "pole neorane" pak neni zrejme, jestli je ten vyklad 
dostatecne polopaticky.

	Zpracovany paket "vstupuje" do do firewallu az ctyrikrat - a ctyrikrat 
se tedy vyhodnocuji pravidla.

	V manualu vam vysvetluji, ze v ruznych fazich zpracovani paketu jsou k 
dispozici ruzne informace.

	Napriklad ve vstupnich dvou zpracovanich jeste neni znam odchozi 
interface (protoze routovacim jadrem, ktere ho vybere, paket jeste 
neprosel). Na IP urovni pak, pro zmenu, neni k dispozici MAC.

	A tomu se pri psani pravidel musite prizpusobit.

	O cem uz manual tak zretelne nemluvi - snad proto, ze predpoklada, ze 
"to je jasne" je to, ze v ruznych fazich jsou take k dispozici jen 
nektere akce.

	Bohuzel, na urovni druhe vrstvy neni mozne urcit "next-hop" IP adresu 
paketu - a tedy nelze pouzit FWD

	Soucasne vsak - test na MAC neni dostupny nikde jinde, nez ve druhe vrstve.

	Celkove tedy - tento set podminek a akci se proste navzajem vylucuje. 
Paket proste nemuze byt forwardovan na zaklade MAC.

	**************************

	No a ted co s tim - no, nevyzaduje to zas tak dlouhe zamysleni - 
forwardujte ho podle IP. Jestli jste forwardovani podle MAC vymyslel 
proto, ze se domnivate, ze MAC se hure meni (neni to pravda, ale nebudu 
vam to vymlouvat), dobra, pak nejprve overte, ze kombinace MAC a IP 
"sedi" (tedy tu IP neukradl nekdo neopravneny) - a pak forwardujte podle IP.

	I zminene overeni lze delat pomoci IPFW, ale je otazka, zda v tomto 
pripade neni dostacujici a vhodnejsi reseni staticka ARP.

				Dan Lukes

Previous message: Dotaz ohledne IPFW
Next message: Dotaz ohledne IPFW
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list