|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Eugene Grosbein 2:5006/1 23 Sep 2004 00:18:47
To : Sultan Azhiguzhayev
Subject : Re: arp
--------------------------------------------------------------------------------
22 сен 2004, среда, в 18:09 KRAST, Sultan Azhiguzhayev написал(а):
EG>>>> и man ipfw.
SA>>> Hету тут такого, что если он лезет не с тем ip, то arp от него не
SA>>> форвардить и
SA>>> ему не показывать.
EG>> Кто "он"?
SA> bridge:
SA> 192.168.0.40---+--vlan1-bridge-vlan2----192.168.0.10
SA> (валидный) | (валидный)
SA> 192.168.0.10---'
SA> (самозванец)
SA> Рассмотрим интерфейс vlan1:
SA> если приходит arp-сообщение от источника с src ip == 192.168.0.40, то
SA> принимаем
SA> если приходит arp-сообщение от источника с src ip != 192.168.0.40, то
SA> дропаем.
Под правило ipfw add count all from any to any in via vlan1
подпадают все пакеты, включая ARP-запросы при включенной фильтрации
layer2 в ipfw2.
Можно было бы посоветовать тебе такое правило по аналогии:
ipfw add deny all from not 192.168.0.40 to any in via vlan1.
Практически же оно работать не будет, потому что ipfw2 выбирает
sender-IP только из IP-пакетов, к которым ARP не относится.
Это, кстати, бага ipfw2 - для ARP он мог бы сделать исключение,
там sender-IP есть. Так что я был неправ, ipfw2 тебе (пока) не поможет
(между прочим, исправить эту багу в ip_fw2.c должно быть очень легко).
Тебе помог бы ifconfig vlan1 staticarp, если бы ты согласился
на заморозку ARP-таблицы в vlan1. Практика показывает, что ведение
таблицы MAC-адресов в текстовом файле на сервере для сетей средних
размеров (несколько десятков IP) проблемой не является.
Eugene
--
"Люди забыли эту истину," - сказал Лис, - "но ты не забывай"
--- slrn/0.9.8.0 (FreeBSD)
* Origin: Svyaz Service JSC (2:5006/1@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: arp |
Eugene Grosbein |
23 Sep 2004 00:18:47 |
 arp |
Sultan Azhiguzhayev |
23 Sep 2004 09:06:43 |
|
|
