Jump to content

Фаервол со списком мак адресов

Tygra
 Share

Recommended Posts

Tygra

Tygra

Posted
Posted

В случае с IP адресами есть список адресов , который можно подставлять в одно правило и не городить под каждый IP свое правило . Есть ли какой похожий способ для списка MAC адресов ?  Или какой нибудь не очевидный "костыль" ?  Или все же по правилу для каждого МАС ? ( много их маков то, да и меняются они периодически ) . 

Tygra

Tygra

Posted
  • Author
Posted
28 минут назад, Saab95 сказал:

Самое время перейти на какую-то другую схему авторизации

К сожалению это не возможно. Подконтрольное нам оборудование "посредник" .  

Saab95

Saab95

Posted
Posted

Смак адресами можно работать фильтрами бриджа. Это удобнее, чем делать то же самое в стандартном файрволе. При этом можно маркировать трафик по макам, то есть если вам нужно управлять трафиком стандартным файрволом по каким-то критериям с маками, можно в фильтрах бриджа создать кучу правил, которые промаркируют трафик с нужными маками, и уже по этим меткам дальше будете работать.

Tygra

Tygra

Posted
  • Author
Posted
7 минут назад, Saab95 сказал:

Смак адресами можно работать фильтрами бриджа

Изначально так и планировалось , вопрос в количестве правил , одно дело одно правило к списку маков , другое дело по правилу на мак , а их много , от того думаю можно ли что здесь придумать . Особой нагрузки на микрот не будет от большого количества правил, будет мягко выражаясь , как то не правильно что ли , но что то я пока ничего умнее, чем тупо по правилу на мак, не могу придумать ..  Скрипт управления сильно усложнится . Но надежда всегда остается последней , от того и спрашиваю у более опытных товарищей , может есть какое "хитрое" решение.  

myth

myth

Posted
Posted
1 час назад, Tygra сказал:

Особой нагрузки на микрот не будет от большого количества правил, будет мягко выражаясь

Это от вагона линейных правил то?

Tygra

Tygra

Posted
  • Author
Posted
9 минут назад, myth сказал:

Это от вагона линейных правил то?

Основной трафик не будет там летать , 99пр трафика "вылетит" в первых двух правилах, по макам это "контрольки" , это меньше 1пр трафика , да какой 1 , меньше чем процент .. Так что там большой нагрузки не планируется .  Хотя конечно я не знаю сколько ресурсов сожрет простой пропуск определенных пакетов через мост , думаю что не фатально много , по крайней мере для CCR1016 .. Думаю , если переварит 300-500kpps в потоке до 1гигабита уже будет хорошо... В идеале то понятно , чем больше тем лучше . На данный момент сию функцию выполняют мосты на юниксе , хочу посмотреть сколько микрот переварит , т.к. мостов на юниксе становится все больше ... На "столе" все работает нормально , до практического теста пока еще далековато. Да и не решено еще куда  воткнуть 10гб порт , все порты на 10гб заняты ...

Tygra

Tygra

Posted
  • Author
Posted
25 минут назад, pppoetest сказал:

Причёт тут проценты трафика, проверяться будет КАЖДЫЙ пакет, в данном случае фрейм, если л2.

Я наверное не верно понял логику работы фаервола микрота, поправьте если я не прав , основной трафик имеет определенный признак , по данному признаку в первых двух правилах оно будет отрабатывать сразу на пропуск , не пропуская на проверку дальше т.к. оно должно пройти сразу и нет смысла его гонять по остальным тысячам правил . С чего каждый фрейм л2 будет проверяться всеми правилами фаервола ?  Я же говорю что основной трафик "пройдет" через первые 2 правила . Проверка по макам пойдет по другим признакам и количество данный фреймов в общей полосе минимально ..

 

21 минуту назад, myth сказал:

туннели

Да . Через нас проходят только туннели , планирую пропуск самих тунелей, но контролировать их образование по мак адресу .

Tygra

Tygra

Posted
  • Author
Posted
5 минут назад, pppoetest сказал:

Емнип, под капотом у микрота обычный iptables, значит возможны варианты с цепочками, утверждать не берусь.

Я все до конца еще не изучил , только начал разбираться с микротом, на юниксе фаервол прост и логичен . Здесь я так понял что у моста свой загадочный фаервол , как оно будет под нагрузкой работать х.з. , на столе работает вроде адекватно . Сейчас я думаю как скрипт управления и синхронизации с базой упростить. 

myth

myth

Posted
Posted
1 час назад, Tygra сказал:

но контролировать их образование по мак адресу .

гланды удалять исключительно через ж...?

 

Чем способ авторизации через радиус какой-нибудь не устраивает?

 

Хоть по маку, хоть по логину с паролем

 

Имхо, от 1000 l2 правил и тазик склеится

Tygra

Tygra

Posted
  • Author
Posted
20 часов назад, myth сказал:

гланды удалять исключительно через ж...?

 

Чем способ авторизации через радиус какой-нибудь не устраивает?

 

Хоть по маку, хоть по логину с паролем

 

Имхо, от 1000 l2 правил и тазик склеится

Читайте выше , оборудование транзитное, авторизация осуществляется на вышестоящих серверах к которым нет доступа.  Что либо изменить в данной системе , ровно как способ авторизации не возможно, грубить при этом совершенно не обязательно .  Требуется лишь контроль доступа к вышестоящим серверам по мак адресу , зачем это - надо , что либо изменить не возможно . Для авторизуемых не должно ничего измениться , они как логинились на вышестоящем сервере , так и логиниться , трафик Л2 , л3 только внутри туннелей , который мы не трогаем ... На "тазике" крутится около 6000 таких правил и ничего у него не "склеивается" . Почему - я выше обьяснил , не вижу особых отличий от которых загнется микрот . Вот концепция фаервола, после юникса , мягко выражаясь не адекватная, но это скорее с непривычки, не страшно - разберемся .   

Tygra

Tygra

Posted
  • Author
Posted
29 минут назад, pppoetest сказал:

Извините, но это не контроль.

Прямо жесткого контроля всего и вся не требуется , как я уже не однократно говорил, авторизацией  занимается вышестоящая организация , она и осуществляет основной контроль   . На данный момент с меня требуется только чистка и доступ к авторизации по маку , больше ничего  ..  Да понимаю что система мягко выражаясь не стандартная и реализовано как то через "опу" , но что дали то и "работаем" , изменить систему нет никакой возможности ....

 

P\S По всей видимости все же надо городить огород из километра правил ... Ну попробую , не получается у тех кто ничего не делает , посмотрим что выйдет , я думаю будет все нормально ... 

Tygra

Tygra

Posted
  • Author
Posted
7 часов назад, myth сказал:

зачем что-то дополнительно ограничивать

Как я уже отметил выше , система не стандартная от того очевидные вещи не получаются очевидно , что вам кажется бессмысленным здесь работает и в структуре всей системы вполне логично , ну если не учитывать что оно как то все через одно место .. И не плохо функционирует уже около 10 лет ...  К сожалению в наших реалиях только так , собственно и этому рады ) ...

Tygra

Tygra

Posted
  • Author
Posted

Провел не большой тест под нагрузкой , поток около 800мбит, добавлял одинаковых правил для теста нагрузки на процессор . В общем микроту "поплохело" после 1000 "действующих" правил т.е. абсолютно весь трафик проходил через все 1000 правил , я ожидал гораздо худшего. Можно смело городить "огород" ) ..  

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.