Pakety neprochazi skrz ipfw

Dan Lukes dan at obluda.cz
Sun Aug 7 17:11:28 CEST 2005

Previous message: Pakety neprochazi skrz ipfw
Next message: Pakety neprochazi skrz ipfw
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Cizek Milan wrote:
> mam wifi kartu wi0 v hostap rezimu.  V IPFW mam vytvoreny pro kazdeho
> uzivatele pipe na download smerek k nemu, ale jen z adres 10.0.0.0/8. Tedy
> pokud uzivatele stahuji mezi sebou, mela by byt rychlost omezena. Problem
> je, ze tato data nejakym zpusobem tecou primo kartou a jak se mi zda, do
> kernelu/firewallu se vůbec nedostanou. 

	No, asi bych mel zacit tim, ze hostap rezim jsem jeste nikdy nepouzil. 
Presto si sebevedome troufnu myslet, ze vim, co se tam deje.

	ipfw (alespon ty podminky, ktere se zabyvaji IP) se zabyva temi pakety, 
ktere "vylezou" alespon na uroven treti vrstvy. To jsou typicky ty IP 
pakety, ktere jsou routovane, nebo ktere jsou pro danou masinu cilove.

	Zde se ale prevazne bavime o paketech, ktere se neroutuji, nejsou 
urceny pro tuto stanici - a navic mozna ani nejsou IP (predpokladam 
totiz, ze uzivatele site jsou dost chytri, aby prisli na to, ze pipe, i 
kdyby fungovala, snadno obejdou tim, ze mezi svymi Windows budou 
komunikovat prostrednictvim nativniho NetBEUI nebo treba IPX - takze - i 
kdyby to fungovalo, nefungovalo by to dlouho).

	Ono sice IPFW umi filtrovat i podle udaju druhe vrstvy (kdyz se ovsem 
spravne k tomuto ucelu nakonfiguruje), ale obavam se, ze to nebude v 
tomto pripade resenim - a to nejen proto, ze vy vlastne nechcete 
filtrovat, ale zadate traffic shaping - a ten ether-ipfw neumi.

	Bylo by, kdyby bridge delalo FreeBSD. Nicmene, hostap rezim wi zarizeni 
takto napsany neni (a z urcitych duvodu dost dobre ani byt nemuze). 
Ovladac v tomto modu se vlastne snazi emulovat hardwarovy repeater, ale 
pro vyssi vrstvy systemu svoji funkci skryva predstiraje, ze je 
obycejnou sitovou kartou. Vlastne nema moc jinou moznost - FreeBSD umi 
byt router (treti vrstva), bridge (neboli switch = druha vrstva), ale 
repeater (neboli HUB = prvni vrstva) to byt stejne neumi.

	Sice jsem to nezkousel (taky nemam na cem), ale myslim, ze ani 
ethernet-ipfw by pakety nevidelo takze dokonce i kdyby nam neslo o pipe, 
ale prachobycejny filtr, stejne by to nejspis takto vyresit neslo.

> Trochu jsem se snazil hledat, někdo
> mi poradil, ze se to da snad vyresit vytvorenim nejakeho pseudo interfacu
> (VLAN?)... Ale s tim nemam zatím zadnou zkusenost. Muzete mi někdo poradit,
> jak prinutit, aby i tato komunikace prochazela firewallem? Dekuji

	VLANy to spise nebudou - k zopakovani pakety dojde driv nez tento 
vystoupa do if_ether - a VLANy jsou az nad ni. Me zadny zpusob 
nezahrnujici (netrivialni) zasahy do zdrojoveho kodu nenapada.

	Coz neznamena, ze trivialni reseni neexistuje. To je jen muj laicky 
odhad, ktery muze byt chybny.

						Dan

Previous message: Pakety neprochazi skrz ipfw
Next message: Pakety neprochazi skrz ipfw
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list