ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       23 Sep 2004  09:59:15
 To : Sultan Azhiguzhayev
 Subject : Re: arp
 -------------------------------------------------------------------------------- 
 

 23 сен 2004, четверг, в 07:06 KRAST, Sultan Azhiguzhayev написал(а):
 
  EG>> Под правило ipfw add count all from any to any in via vlan1
  EG>> подпадают все пакеты, включая ARP-запросы при включенной фильтрации
  EG>> layer2 в ipfw2.
  SA> Я из мана так и не понял, что делает layer2 в ipfw :(
 
 ipfw2 способен использовать заголовок второго уровня (читай: MAC-адреса)
 в IP-пакетах.
 
  EG>> Можно было бы посоветовать тебе такое правило по аналогии:
  EG>> ipfw add deny all from not 192.168.0.40 to any in via vlan1.
  SA> Т.е. о гибкой фильтрации arp в ipfw пока и не думали?
 
 Видимо, нет. Можешь написать патч, должно быть несложно.
 
  EG>> Тебе помог бы ifconfig vlan1 staticarp, если бы ты согласился
  EG>> на заморозку ARP-таблицы в vlan1. Практика показывает, что ведение
  EG>> таблицы MAC-адресов в текстовом файле на сервере для сетей средних
  EG>> размеров (несколько десятков IP) проблемой не является.
  SA> Это принципиально неправильно, на мой взгляд. Т.к. мне важно обеспечить
  SA> аутентичность ip, а не mac. А mac постоянно приводится как костыль...
 
 Это, по крайней мере, стабильно работает и пойдет как временное
 решение на тот период, пока ты будешь писать патч ;-)
 
 Eugene
 -- 
 "Люди забыли эту истину," - сказал Лис, - "но ты не забывай"
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Re: arp   Eugene Grosbein   23 Sep 2004 09:59:15   arp   Sultan Azhiguzhayev   23 Sep 2004 11:07:12