[FUGSPBR] Re: IPFW + MAC
Marcelo B.
marceloc em baydenet.com.br
Qua Dez 22 09:33:08 BRST 2004
Realmente as suas regras estao muito confusa, vamos por partes.
primeiro faca a limitacao antes do "allow" , segunda eu acho que voce nao
precisa declarar os mac's nos pipes acho desnecessario isso.
um exemplo que funciona:
ipfw add pipe 1 all from 10.20.30.0/24 to any in via ak0 layer2 in
ipfw add pipe 1 all from any to 10.20.30.0/24 out via ak0 layer2 out
ipfw pipe 1 config bw 128Kbit/s queue 11Kbytes
depois:
ipfw add allow all from 10.20.30.0/24 to any in via ak0 mac 00:0e:0c:F8:55:94
00:e0:7d:fc:db:b9
ipfw add allow all from any to 10.20.30.0/24 out via ak0 mac 00:e0:7d:fc:db:b9
00:0e:0c:F8:55:94
ipfw add allow all from any to any out via ak0 mac 00:e0:7d:fc:db:b9
00:0e:0c:F8:55:94 mac-type arp
ipfw add allow all from any to any in via ak0 mac 00:0e:0c:F8:55:94
00:e0:7d:fc:db:b9 mac-type arp
#ak0_mac = 00:0e:0c:F8:55:94
As duas ultimas linhas sao precisas se seu firewall for fechado, caso nao
ignore, ate porque outras regras devem ser criadas caso a politica padrao do
firewall for "deny all".
Nao esqueca das variaveis:
net.link.ether.ipfw=1
net.inet.ip.fw.one_pass=0
T+
Em Ter 21 Dez 2004 18:39, bruno escreveu:
> MArcelo,
>
> Recompilei sim o libalias e o próprio ipfw com -DIPFW2, com pilei o
> kernel...
> setei no sysctl.conf
> se verificar com sysctl -a ele aparece ok, aparentemente está funcionando o
> problema é que tenho que limitar e não estou conseguindo.
>
> Acho que o problema não é no IPFW2 e sim nas regras.
> Por exemplo:
>
> /sbin/ipfw add allow all from any to any MAC BO:BO:BO:BO:BO:BO any via sis2
> /sbin/ipfw add allow all from any to any MAC any BO:BO:BO:BO:BO:BO via sis2
> /sbin/ipfw add pipe 1000 all from any to any MAC BO:BO:BO:BO:BO:BO any out
> via sis2
> /sbin/ipfw add pipe 1010 all from any to any MAC any BO:BO:BO:BO:BO:BO in
> via sis2
> /sbin/ipfw add queue 1000 all from any to any MAC BO:BO:BO:BO:BO:BO any out
> via sis2
> /sbin/ipfw add queue 1010 all from any to any MAC any BO:BO:BO:BO:BO:BO in
> via sis2
> /sbin/ipfw pipe 1000 config bw 128Kbit/s queue 50KBytes
> /sbin/ipfw pipe 1010 config bw 64Kbit/s queue 50KBytes
> /sbin/ipfw queue 1000 config weight 90 pipe 1000
> /sbin/ipfw queue 1010 config weight 10 pipe 1010
>
>
> Até,
> Bruno Motta
>
> Marcelo B. escritos:
> > Recompilou a libalias?
> > nao esqueca de setar a variavel net.link.ether.ipfw para 1, assim:
> > sysctl net.link.ether.ipfw=1
> >
> > Em Sex 17 Dez 2004 13:01, bruno escreveu:
> >> Prezados,
> >>
> >> Estou tentando utilizar o IPFW com MAC ADDRESS no FreeBSD 4.9, acredito
> >> que tudo já esteja tudo ok, mas não vai.
> >>
> >> Compile o IPFW com -DIPFW2 e compile o kernel com a opção IPFW2, agora
> >> quando executo algumas regras elas não dão erro mas tb não fazem nada:
> >>
> >> ipfw add 1000 allow ip from any to any MAC any 00:d0:09:5a:3c:b3 in via
> >> sis0 ipfw add 1010 allow ip from any to any MAC 00:d0:09:5a:3c:b3 any
> >> out via sis0
> >>
> >> Executo estas regras e depois deleto a de allow from any to any, mas
> >> simplesmente não acessa a máquina. Estou tentando de outra máquina com o
> >> MAC 00:d0:09:5a:3c:b3, mas não rola, como proceder ???
> >>
> >> Meu kernel está como DENY por default.
> >>
> >> Desde já agradeço.
> >>
> >> Até,
> >> Bruno Motta
> >> _______________________________________________________________
> >> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> >> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> >> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >
> > _______________________________________________________________
> > Para enviar um novo email para a lista: fugspbr em fugspbr.org
> > Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd