"ipfw: layer2 lookup tables (http://blogs.freebsdish.org/gleb/2008/11/23/ipfw-layer2-look.../)" - Gleb Kurtsou улучшил поддержку таблиц в при фильтрации по MAC адресам в ipfw2. Например, стало возможно привязывать mac адрес к IP подсети, расширены возможности использования таблиц, например:
ipfw table 1 add 192.168.1.0/24 ether 00:11:11:11:11:11
ipfw table 1 add 192.168.1.0/24 ether 00:22:22:22:22:22
ipfw table 1 add 192.168.1.0/24 ether 00:33:33:33:33:33# equivalent to: ipfw table 2 add any ether ...
ipfw table 2 add ether 00:11:11:11:11:11
ipfw table 2 add ether 00:22:22:22:22:22
ipfw table 2 add ether 00:33:33:33:33:33
ipfw table 2 add ether ff:ff:ff:ff:ff:ffipfw add 1000 allow ip from 'table(2)' to 'table(2)' layer2
# layer3
ipfw add 2000 allow ip from 'table(1)' to 'table(1)'
URL: http://blogs.freebsdish.org/gleb/2008/11/23/ipfw-layer2-look.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=19058
Лучше бы новый pf портировали из OpenBSD
И вставили туда поддержку MAC ;)
Ну так и сидите в OpenBSD, кто мешает то?)
Ну так не всем нравится. Да и другие ограничения бывают: например, я ещё не видел, чтобы кто-то смог завести Oracle по опёнком. :(
Поддержка MAC'ов к pf уже тоже давно прикручена.
Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой) и фильтровать, как и все нормальный люди, по IP? Всё-таки не стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)
>Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой)
>и фильтровать, как и все нормальный люди, по IP? Всё-таки не
>стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)я злой вася пупкин, очень продвинутый юзер. взял и отключил у себя дхцп клиента и прописал ручками себе ип. что дальше? тем более не надо так узко рассматривать таблицы маков только как средство для контролера за машинками в локалке.
>>Вот интересно, а не проще юзать DHCP (по необходимости, со статической привязкой)
>>и фильтровать, как и все нормальный люди, по IP? Всё-таки не
>>стоит лишний раз мешать уровни OSI... Но это лишь IMHO. :)
>
>я злой вася пупкин, очень продвинутый юзер. взял и отключил у себя
>дхцп клиента и прописал ручками себе ип. что дальше? тем более
>не надо так узко рассматривать таблицы маков только как средство для
>контролера за машинками в локалке.А я - злой Вася Скалкин, взял да и поменял MAC на сетевухе.
Читайте внимательнее, пожалуйста, речи о том, что данное решение можно использовать как полноценную защиту, не было.
все равно нафиг не нужен в данном случае DHCP - зачем мне систему грузить лишними демонами, если ipfw все сам умеет, тем более это удобно использовать для сбора статистики втыкая груба говоря в разрыв кабеля такой прозрачный шлюз и по макам группировать трафик...
>все равно нафиг не нужен в данном случае DHCP - зачем мне
>систему грузить лишними демонами, если ipfw все сам умеет, тем более
>это удобно использовать для сбора статистики втыкая груба говоря в разрыв
>кабеля такой прозрачный шлюз и по макам группировать трафик...Ну, если dhcpd - это очень большая нагрузка на систему... ;) Хотя, возможно, в каком-то экстремальном случае (типа совсем-совсем embedded) это может быть оправдано, согласен.
А вот шлюз может прекрасно фильтровать по IP. Более того, таких решений намного больше. И удобнее это делать по IP, т.к. можно оперировать подсетями или просто блоками адресов. Например: блок 192.168.5/24 - бухгалтерия, блок 192.168.6/24 - продав... сорри, манагеры:) и т.д.
И повторю свой тезис: не стоит мешать уровни OSI...
>И повторю свой тезис: не стоит мешать уровни OSI...Ну в там случае использовать железячный МАК логичнее...
>>И повторю свой тезис: не стоит мешать уровни OSI...
>
>Ну в там случае использовать железячный МАК логичнее...Если речь идёт об одном сегменте сети, то да. Правда, не могу придумать ни одного случая подобной необходимости. Если же речь идёт о логической адресации (когда не хочется забивать себе голову тем, сколько свичей стоит между маршрутизатором и хостом), то это уже, очевидно, вотчина 3-го уровня.
Угу - есть ещё дебилы в самых отдалённых местечках таймырской тайги, которые IP-шники по ярангам раздают ручками с записью в тетрадке или ехеле ... народ из побаивается и кличет шаманами. 8-\
Угу. А есть еще дебилы-провайдеры которые привязывают пользователя к маку и секъюрити здесь не причем. У вас в тайге наверное таких еще нет.