Титла: филтър по mac адрес
Публикувано от: bozho в Sep 07, 2006, 18:34
Разбрах, че с pf, май не може да се филтрира по MAC адрес.
А с какво става. (FreeBSD 6.1)
По-специално, искам да спра пакетите, които идват от адреси 00:00:00... и
FF:FF:FF...
А с какво става. (FreeBSD 6.1)
По-специално, искам да спра пакетите, които идват от адреси 00:00:00... и
FF:FF:FF...
Титла: филтър по mac адрес
Публикувано от: в Sep 07, 2006, 22:19
Не разбирам от тази операционна система...но искам да питам защо ти е да ги филтрираш все пак?
freebsd ще отговори ли примерно на ARP запитване идващо от източник с броудкаст адрес (FF:FF:FF:FF:FF:FF)??? Би било..тъпо ми се струва, но и от гледна точка на сигурността не виждам особен смисъл някой злодей да праща такива фреймчета...
Що се отнася до фреймове идващи от 00:00:00:00:00:00 те се водят невалидни и се издропват, поне в линукс, нямам идея във фбсд как стоят нещата все пак де..
freebsd ще отговори ли примерно на ARP запитване идващо от източник с броудкаст адрес (FF:FF:FF:FF:FF:FF)??? Би било..тъпо ми се струва, но и от гледна точка на сигурността не виждам особен смисъл някой злодей да праща такива фреймчета...
Що се отнася до фреймове идващи от 00:00:00:00:00:00 те се водят невалидни и се издропват, поне в линукс, нямам идея във фбсд как стоят нещата все пак де..
Титла: филтър по mac адрес
Публикувано от: divak в Sep 07, 2006, 23:11
Здравей
Мисля ,че удачен начин за филтриране на МАС адреси е със arp, или по-точно-статични записи.
Като за начало - Какво е MAC адрес и броудкаст адрес, ARP протокол.
После :
1. arp -an | awk -v OFS="\t" '{print(substr($2, 2, length($2)-2), $4)}' > ethers
2. arp -d -a
3. arp -f /usr/local/etc/ethers
Всеки който не е в ethers няма връзка с теб
Ако използваш :
може и да ти е по лесно
Успех, и помисли внимателно дали наистина искаш да филтрираш FF:FF:FF:FF:FF:FF
P.s. Забравих да добавя
във rc.conf пишеш ifconfig_(интерфейса ти)="staticarp"
Така всички машини които не са във ethers, няма да могат да виждат интерфейса ти.
Да добавя :
За да забраниш присвояване на свободни ip-та в мрежата ти :
arp -s свободно ип 0:0:0:0:0:0 pub - например
А ако искаш може и да ги сложиш във фаил и да четеш от него, така ще предотвратиш елементарна подмяна на ип и МАС адреси.
Мисля ,че удачен начин за филтриране на МАС адреси е със arp, или по-точно-статични записи.
Като за начало - Какво е MAC адрес и броудкаст адрес, ARP протокол.
После :
1. arp -an | awk -v OFS="\t" '{print(substr($2, 2, length($2)-2), $4)}' > ethers
2. arp -d -a
3. arp -f /usr/local/etc/ethers
Всеки който не е в ethers няма връзка с теб
Ако използваш :
| Примерен код |
| #!/bin/sh # Static ARP-table loader case $1 in start) arp -d -a > /dev/null arp -f /usr/local/etc/ethers > /dev/null echo 'Static ARP-table is loaded' ;; stop) arp -d -a > /dev/null echo 'Static ARP-table is unloaded' ;; restart) arp -d -a > /dev/null arp -f /usr/local/etc/ethers > /dev/null echo 'Static ARP-table is reloaded' ;; status) arp -an ;; *) echo "Usage: `basename $0` {start|stop|restart|status}" >&2 ;; esac exit 0 |
може и да ти е по лесно
Успех, и помисли внимателно дали наистина искаш да филтрираш FF:FF:FF:FF:FF:FF
P.s. Забравих да добавя
във rc.conf пишеш ifconfig_(интерфейса ти)="staticarp"
Така всички машини които не са във ethers, няма да могат да виждат интерфейса ти.
Да добавя
:За да забраниш присвояване на свободни ip-та в мрежата ти :
arp -s свободно ип 0:0:0:0:0:0 pub - например
А ако искаш може и да ги сложиш във фаил и да четеш от него, така ще предотвратиш елементарна подмяна на ип и МАС адреси.
Титла: филтър по mac адрес
Публикувано от: smelkomar в Sep 08, 2006, 00:12
| Цитат (bozho @ Сеп. 08 2006,18:34) |
| Разбрах, че с pf, май не може да се филтрира по MAC адрес. А с какво става. (FreeBSD 6.1) По-специално, искам да спра пакетите, които идват от адреси 00:00:00... и FF:FF:FF... |
PF - Packet Filtering
С други думи - чети си handbook-a (/офф ... сега се сещам че имах малък спор за това с някой от този форум ... /офф)Едит: да не съм много лош?
http://www.openbsd.org/faq/pf/tagging.html
http://www.opennet.ru/cgi-bin....thernet
http://www.monkey.org/openbsd/archive/misc/0207/msg02277.html - mail кореспонденция, какво да се прави... без нея не може
Титла: филтър по mac адрес
Публикувано от: Soulstealer в Sep 14, 2006, 15:20
Теоритично е възможно MAC адреси да се филтрират с ipfw. Аз съм го тествал и практически не работи, но разбира се голяма е вероятността аз да съм сгрешил нещо, но все пак доста съм се интересувал и питал, но никой не е могъл да ми каже, дори в пощенските списъци на FreeBSD
Титла: филтър по mac адрес
Публикувано от: bozho в Sep 26, 2006, 18:36
| Цитат (divak @ Сеп. 26 2006,18:42) |
| Здравей Мисля ,че удачен начин за филтриране на МАС адреси е със arp, или по-точно-статични записи. |
мда - намерих даже и слединят начин. 10х.
| Цитат (divak @ Сеп. 26 2006,18:42) |
| Успех, и помисли внимателно дали наистина искаш да филтрираш FF:FF:FF:FF:FF:FF |
определено - за тоя интерфейс бродкасти и тем подобни не би трябвало да се получават.
| Цитат (Soulstealer @ Сеп. 26 2006,18:42) |
| Теоритично е възможно MAC адреси да се филтрират с ipfw. Аз съм го тествал и практически не работи, но разбира се голяма е вероятността аз да съм сгрешил нещо, но все пак доста съм се интересувал и питал, но никой не е могъл да ми каже, дори в пощенските списъци на FreeBSD |
Тук
са препоръчали едно-две неща по въпроса, но не с ipfw.
Титла: Re: филтър по mac адрес
Публикувано от: Novobranka в Mar 05, 2010, 14:00
Много се извинявам. Нов съм и за това моля за малко помощ.
Направих таблицата с МAC адресите и след изпълнението всичко работи , обаче в конзолата постоянни ми излизат съобщения от рода : час file kernel : arp : 00:27:19:03:0e:42 attempts to modify permanent entry for 192.168.20.4 on rl0.
Въпроса ми е можете ли да ми помогнете за това нещо и другото е как да направя тази команда arp -f /etc/arp.table да се изпълнява автоматично с пускането на ОС.
Моля не се смейте наистина съм Новобранец в тази среда.
Благодаря Ви предварително.
Направих таблицата с МAC адресите и след изпълнението всичко работи , обаче в конзолата постоянни ми излизат съобщения от рода : час file kernel : arp : 00:27:19:03:0e:42 attempts to modify permanent entry for 192.168.20.4 on rl0.
Въпроса ми е можете ли да ми помогнете за това нещо и другото е как да направя тази команда arp -f /etc/arp.table да се изпълнява автоматично с пускането на ОС.
Моля не се смейте наистина съм Новобранец в тази среда.
Благодаря Ви предварително.