nixp.ru v3.0

23 января 2017,
понедельник,
15:32:19 MSK

DevOps с компанией «Флант»
Аватар пользователя Zarg
Zarg написал 10 января 2006 года в 15:37 (1385 просмотров) Ведет себя как мужчина; открыл 73 темы в форуме, оставил 120 комментариев на сайте.

Пользователям запрещено ходить в инет через 80 порт, только через 3128. Захотелось мне для своей машинки разрешить доступ минуя сквид, написал правило:

${fwcmd} add allow all from 192.168.1.6 to 0.0.0.0/0 80 via sis0

Но хотелось бы еще контролировать по mac адресу, написал так:

${fwcmd} add allow all from 192.168.1.6 to 0.0.0.0/0 80 mac any 00:11:d8:02:22:a9 via sis0

но это правило почему то не работает, почему не могу понять, синтаксис вроде правильный, mac адрес тоже

P.S. система FreeBSD5.3

eudaemon

Что значит — «не работает» ? Что показывает tcpdump ? Есть ли правила, разрешающие хождение пакета с веб-серверов во внутреннюю сеть ?

И зачем писать в одном правиле ip и mac ?

Zarg
eudaemon
Что значит — «не работает» ? Что показывает tcpdump ?

ответ tcpdump покажу когда приду на работу, а нужные правила все есть т.к. инет то работает, просто перед всеми этими правилами добавляю ${fwcmd} add allow all from 192.168.1.6 to 0.0.0.0/0 80 mac any 00:11:d8:02:22:a9 via sis0

И зачем писать в одном правиле ip и mac ?

покажи пожалуйста пример, если можно это сделать просто с помощью mac/

${fwcmd} add allow mac any 00:11:d8:02:22:a9 via sis0 так чтоли?

eudaemon

Нет,подразумевалась возможность работы 'arp -f’.

А вообще, зачем это нужно ? Если для контроля работы юзеров и для предотвращения подмены адресов, то это не поможет — можно подменить и mac. Для таких вещей поднимается vpn. Не занимайся изобретением велосипеда.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.