|
Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » FreeBSD - bridge не хочет фильтровать трафик. |
|
FreeBSD - bridge не хочет фильтровать трафик.
|
Пользователь Сообщения: 53 |
Добрый день.
Поднял бридж, но он не фильтрует трафик. настройки sysctl: net.link.ether.bridge_ipfw=1 net.link.ether.bridge.enable=1 net.link.ether.bridge.config=fxp1,fxp0 net.inet.ip.fw.enable=1 net.link.ether.ipfw=1 когда делаешь deny ip from any to any, то закрывает и ничего не ходит, но когда пытаешься зарезать определенный адрес, то правило игнорируется. Может кто знает в чем может быть проблема? ifconfig навсякий случай: fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> inet 192.168.20.3 netmask 0xffffff00 broadcast 255.255.255.0 ether 00:a0:c9:65:c1:35 media: Ethernet autoselect (100baseTX <full-duplex>) status: active fxp1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> ether 00:90:27:85:b7:95 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> ether 4c:00:10:60:67:ca media: Ethernet autoselect status: no carrier re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING> inet 192.168.5.28 netmask 0xffffff00 broadcast 192.168.5.255 ether 00:0f:ea:f9:a6:ff media: Ethernet autoselect (100baseTX <full-duplex>) status: active plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 |
|
Отправлено: 14:48, 16-03-2009 |
Старожил Сообщения: 284
|
Профиль | Отправить PM | Цитировать ты правила лучше покажи)))
|
Отправлено: 23:47, 17-03-2009 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 53
|
Профиль | Отправить PM | Цитировать Да ни какие правила не работают.... обычно такие пишу:
# ipfw show 00100 0 0 deny ip from 192.168.20.2 to any 65535 682649 143563263 allow ip from any to any |
Отправлено: 05:55, 18-03-2009 | #3 |
Старожил Сообщения: 398
|
Профиль | Отправить PM | Цитировать Эм... я, конечно дико извиняюсь, а чего вы хотели то? При Вашей конфигурации под правило:
Цитата Aidaho:
Цитата Aidaho:
|
||
------- Отправлено: 08:18, 18-03-2009 | #4 |
Пользователь Сообщения: 53
|
Профиль | Отправить PM | Цитировать 2 WhitePangolin
хм.... а как же тогда сделать, что бы ему вообще любой доступ закрывался? и почему оно так странно отрабатывает? если написано any? но даже когда я указываю ему конкретный запрет: 00200 deny ip from 192.168.20.2 to 192.168.20.1 ходит... |
|
Отправлено: 08:23, 18-03-2009 | #5 |
Старожил Сообщения: 398
|
Профиль | Отправить PM | Цитировать Ничего странного в этом нет. Когда у вас 192.168.20.2 обращается к 192.168.20.1 то обращение идет минуя 192.168.20.3. Соответственно ничего и не блокируется. Вот если бы у вас 192.168.20.2 и 192.168.20.1 находились в разных сетях подключенных к разным интерфейсам машины 192.168.20.3, тогда трафик бежал бы сквозь машину и соответственно рулился бы.
Цитата Aidaho:
|
|
------- Отправлено: 08:37, 18-03-2009 | #6 |
Пользователь Сообщения: 53
|
Профиль | Отправить PM | Цитировать 2 WhitePangolin
так 20,2 и 20,1 как раз присоединены к разным сетевым интерфейсам. Даже если на fxp0 нет ip это ничего не меняет... |
Отправлено: 08:48, 18-03-2009 | #7 |
Старожил Сообщения: 398
|
Профиль | Отправить PM | Цитировать /me устал телепатировать и перешел в режим пассивного наблюдения за веткой
|
------- Отправлено: 09:31, 18-03-2009 | #8 |
Пользователь Сообщения: 53
|
Профиль | Отправить PM | Цитировать схема такая:
catalyst<----fxp0--->bridge<---fxp1--->router. на роутере весит сабинтерфейс с айпи 192,168,20,1 на каталисте в порт воткнут комп с айпи 192,168,20,2 весь трафик идет через бридж, tcpdump его видит. ipfw не блокирует и вообще ни как на него не реагирует. кроме как deny any any. на интерфейсах бриджа айпи адреса не прописаны, кроме, как на управляющей карте, который в бридж не входит. |
Отправлено: 09:41, 18-03-2009 | #9 |
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Интернет - OpenVPN | zippi | Программное обеспечение Windows | 34 | 24-05-2018 18:59 | |
Bridge и iptable | Dennis | Общий по Linux | 13 | 31-05-2011 12:13 | |
Прочее - Как фильтровать неправильные имена smb? | dmitryst | Общий по Linux | 0 | 04-06-2009 14:55 | |
FreeBSD - проблемы с bridge-ом | Aidaho | Общий по FreeBSD | 6 | 22-02-2009 21:24 | |
Suse/OpenSuSE - [решено] Bridge Connection | Snake070 | Общий по Linux | 1 | 22-05-2008 23:13 |
|