Главная страница


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Sultan Azhiguzhayev                  2:5083/84      23 Sep 2004  09:06:43
 To : Eugene Grosbein
 Subject : arp
 -------------------------------------------------------------------------------- 
 
 
 Было 23 Сен 04 00:18 и Eugene Grosbein переписывался с Sultan Azhiguzhayev, меня
 это заинтересовало:
 
  EG>>>>> и man ipfw.
  SA>>>> Hету тут такого, что если он лезет не с тем ip, то arp от него
  SA>>>> не форвардить и ему не показывать.
  EG>>> Кто "он"?
  SA>> bridge:
  SA>> 192.168.0.40---+--vlan1-bridge-vlan2----192.168.0.10
  SA>> (валидный)     |                        (валидный)
  SA>> 192.168.0.10---'
  SA>> (самозванец)
  SA>> Рассмотрим интерфейс vlan1:
  SA>> если приходит arp-сообщение от источника с src ip ==
  SA>> 192.168.0.40, то принимаем если приходит arp-сообщение от
  SA>> источника с src ip != 192.168.0.40, то дропаем.
 
  EG> Под правило ipfw add count all from any to any in via vlan1
  EG> подпадают все пакеты, включая ARP-запросы при включенной фильтрации
  EG> layer2 в ipfw2.
 
 Я из мана так и не понял, что делает layer2 в ipfw :(
 
  EG> Можно было бы посоветовать тебе такое правило по аналогии:
  EG> ipfw add deny all from not 192.168.0.40 to any in via vlan1.
 
 Т.е. о гибкой фильтрации arp в ipfw пока и не думали?
 
  EG> Практически же оно работать не будет, потому что ipfw2 выбирает
  EG> sender-IP только из IP-пакетов, к которым ARP не относится.
  EG> Это, кстати, бага ipfw2 - для ARP он мог бы сделать исключение,
  EG> там sender-IP есть. Так что я был неправ, ipfw2 тебе (пока) не поможет
  EG> (между прочим, исправить эту багу в ip_fw2.c должно быть очень легко).
 
 Ясно...
 
  EG> Тебе помог бы ifconfig vlan1 staticarp, если бы ты согласился
  EG> на заморозку ARP-таблицы в vlan1. Практика показывает, что ведение
  EG> таблицы MAC-адресов в текстовом файле на сервере для сетей средних
  EG> размеров (несколько десятков IP) проблемой не является.
 
 Это принципиально неправильно, на мой взгляд. Т.к. мне важно обеспечить
 аутентичность ip, а не mac. А mac постоянно приводится как костыль...
 
 Большое спасибо за разъяснения.
 
                        Всегда не Ваш, но с наилучшими пожеланиями,
                                                                 Султан.
       -I-
 М]\\\\[О]ННННННННННННННННННННННННННННННННННННННННДДДДДД
       -I-                     E-Mail: sultan[at]host.kz
 --- GoldED 3.00.Beta2+
  * Origin: 1/3 жизни - сон, 2/3 - желание выспаться... (2:5083/84)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: arp   Eugene Grosbein   23 Sep 2004 00:18:47 
 arp   Sultan Azhiguzhayev   23 Sep 2004 09:06:43 
Архивное /ru.unix.bsd/1918841523155.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional