Re: [FUG-BR] Filtrando endereços MAC com PF

2010-02-04 Por tôpico Rafael Ganascim 
Já pensou em associar de forma estática o MAC address com o IP? Evita tags,
brconfigs, etc.

arp -s 192.168.0.111 9:8:7:6:5:4

Para salvar, use o /etc/ethers


Em 4 de fevereiro de 2010 11:02, Éderson Chimbida escreveu:

> Pessoal,
>
> Estou querendo filtrar os endereços MAC da minha rede interna. Quero
> adicionar uma TAG pelo brconfig para um determinado endereço MAC e depois
> "associar" o IP e o MAC da maquina com o PF.
> Para prevenir que o trafego daquele MAC sempre venha do mesmo IP.
>
> Mais ou menos assim:
>
> brconfig bridge0 rule pass in on em1 src 9:8:7:6:5:4 tag MAC1
>
> E no pf.conf:
>
> pass in on $int_if from 192.168.0.111 tagged MAC1
>
> Problema é o seguinte, preciso de uma bridge e não pode ser com minha
> interface externa pois tenho mais de uma e todas com IPs válidos.
> Outra questão é que tenho 2 servidores rodando CARP e PFSYNC, tenho que
> colocar a CARP na bridge também?
> Para fazer a bridge na placa da rede interna criei um VLAN, e o mais
> estranho que o outro server para de responder Removo a bridge e ele
> volta!
>
> Minhas configurações são:
> --
> FW1:
> Rede Interna: em1 (192.x.x.1)
> Rede Interna CARP: carp1 (192.x.x.254)
>
> Rede DMZ: em0 (172.x.x1)
> Rede DMZ CARP: carp0 (172.x.x.254)
>
> Rede Externa1: em3 ( 200.x.x.1)
> Rede Externa1 CARP: carp2 ( 200.x.x.254)
>
> Rede Externa2: em3 ( 189.x.x.1)
> Rede Externa2 CARP: carp3 ( 189.x.x.254)
> --
> FW2:
> Rede Interna: em1 (192.x.x.2)
> Rede Interna CARP: carp1 (192.x.x.254)
>
> Rede DMZ: em0 (172.x.x.2)
> Rede DMZ CARP: carp0 (172.x.x.254)
>
> Rede Externa1: em3 ( 200.x.x.2)
> Rede Externa1 CARP: carp2 ( 200.x.x.254)
>
> Rede Externa2: em3 ( 189.x.x.2)
> Rede Externa2 CARP: carp3 ( 189.x.x.254)
> --
>
> A bridge estava fazendo com uma VLAN só que a VLAN já esta associada a
> interface interna em1
> bridge0 ( add em1 add vlan1 up)
>
> Como poderia resolver esse problema, existe alguma outra forma? Alguém tem
> alguma dica?
>
> O SO é um OpenBSD 4.6...
>
> --
> Éderson H. Chimbida
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Filtrando endereços MAC com PF

2010-02-04 Por tôpico Éderson Chimbida 
Pessoal,

Estou querendo filtrar os endereços MAC da minha rede interna. Quero
adicionar uma TAG pelo brconfig para um determinado endereço MAC e depois
"associar" o IP e o MAC da maquina com o PF.
Para prevenir que o trafego daquele MAC sempre venha do mesmo IP.

Mais ou menos assim:

brconfig bridge0 rule pass in on em1 src 9:8:7:6:5:4 tag MAC1

E no pf.conf:

pass in on $int_if from 192.168.0.111 tagged MAC1

Problema é o seguinte, preciso de uma bridge e não pode ser com minha
interface externa pois tenho mais de uma e todas com IPs válidos.
Outra questão é que tenho 2 servidores rodando CARP e PFSYNC, tenho que
colocar a CARP na bridge também?
Para fazer a bridge na placa da rede interna criei um VLAN, e o mais
estranho que o outro server para de responder Removo a bridge e ele
volta!

Minhas configurações são:
--
FW1:
Rede Interna: em1 (192.x.x.1)
Rede Interna CARP: carp1 (192.x.x.254)

Rede DMZ: em0 (172.x.x1)
Rede DMZ CARP: carp0 (172.x.x.254)

Rede Externa1: em3 ( 200.x.x.1)
Rede Externa1 CARP: carp2 ( 200.x.x.254)

Rede Externa2: em3 ( 189.x.x.1)
Rede Externa2 CARP: carp3 ( 189.x.x.254)
--
FW2:
Rede Interna: em1 (192.x.x.2)
Rede Interna CARP: carp1 (192.x.x.254)

Rede DMZ: em0 (172.x.x.2)
Rede DMZ CARP: carp0 (172.x.x.254)

Rede Externa1: em3 ( 200.x.x.2)
Rede Externa1 CARP: carp2 ( 200.x.x.254)

Rede Externa2: em3 ( 189.x.x.2)
Rede Externa2 CARP: carp3 ( 189.x.x.254)
--

A bridge estava fazendo com uma VLAN só que a VLAN já esta associada a
interface interna em1
bridge0 ( add em1 add vlan1 up)

Como poderia resolver esse problema, existe alguma outra forma? Alguém tem
alguma dica?

O SO é um OpenBSD 4.6...

--
Éderson H. Chimbida
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd