Перейти к содержимому
Калькуляторы

Фаервол со списком мак адресов

В случае с IP адресами есть список адресов , который можно подставлять в одно правило и не городить под каждый IP свое правило . Есть ли какой похожий способ для списка MAC адресов ?  Или какой нибудь не очевидный "костыль" ?  Или все же по правилу для каждого МАС ? ( много их маков то, да и меняются они периодически ) . 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самое время перейти на какую-то другую схему авторизации, что бы уйти от необходимости костылей на L2 уровне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

28 минут назад, Saab95 сказал:

Самое время перейти на какую-то другую схему авторизации

К сожалению это не возможно. Подконтрольное нам оборудование "посредник" .  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смак адресами можно работать фильтрами бриджа. Это удобнее, чем делать то же самое в стандартном файрволе. При этом можно маркировать трафик по макам, то есть если вам нужно управлять трафиком стандартным файрволом по каким-то критериям с маками, можно в фильтрах бриджа создать кучу правил, которые промаркируют трафик с нужными маками, и уже по этим меткам дальше будете работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, Saab95 сказал:

Смак адресами можно работать фильтрами бриджа

Изначально так и планировалось , вопрос в количестве правил , одно дело одно правило к списку маков , другое дело по правилу на мак , а их много , от того думаю можно ли что здесь придумать . Особой нагрузки на микрот не будет от большого количества правил, будет мягко выражаясь , как то не правильно что ли , но что то я пока ничего умнее, чем тупо по правилу на мак, не могу придумать ..  Скрипт управления сильно усложнится . Но надежда всегда остается последней , от того и спрашиваю у более опытных товарищей , может есть какое "хитрое" решение.  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Tygra сказал:

Особой нагрузки на микрот не будет от большого количества правил, будет мягко выражаясь

Это от вагона линейных правил то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 минут назад, myth сказал:

Это от вагона линейных правил то?

Основной трафик не будет там летать , 99пр трафика "вылетит" в первых двух правилах, по макам это "контрольки" , это меньше 1пр трафика , да какой 1 , меньше чем процент .. Так что там большой нагрузки не планируется .  Хотя конечно я не знаю сколько ресурсов сожрет простой пропуск определенных пакетов через мост , думаю что не фатально много , по крайней мере для CCR1016 .. Думаю , если переварит 300-500kpps в потоке до 1гигабита уже будет хорошо... В идеале то понятно , чем больше тем лучше . На данный момент сию функцию выполняют мосты на юниксе , хочу посмотреть сколько микрот переварит , т.к. мостов на юниксе становится все больше ... На "столе" все работает нормально , до практического теста пока еще далековато. Да и не решено еще куда  воткнуть 10гб порт , все порты на 10гб заняты ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Причёт тут проценты трафика, проверяться будет КАЖДЫЙ пакет, в данном случае фрейм, если л2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, Tygra сказал:

К сожалению это не возможно. Подконтрольное нам оборудование "посредник"

туннели

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

25 минут назад, pppoetest сказал:

Причёт тут проценты трафика, проверяться будет КАЖДЫЙ пакет, в данном случае фрейм, если л2.

Я наверное не верно понял логику работы фаервола микрота, поправьте если я не прав , основной трафик имеет определенный признак , по данному признаку в первых двух правилах оно будет отрабатывать сразу на пропуск , не пропуская на проверку дальше т.к. оно должно пройти сразу и нет смысла его гонять по остальным тысячам правил . С чего каждый фрейм л2 будет проверяться всеми правилами фаервола ?  Я же говорю что основной трафик "пройдет" через первые 2 правила . Проверка по макам пойдет по другим признакам и количество данный фреймов в общей полосе минимально ..

 

21 минуту назад, myth сказал:

туннели

Да . Через нас проходят только туннели , планирую пропуск самих тунелей, но контролировать их образование по мак адресу .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Емнип, под капотом у микрота обычный iptables, значит возможны варианты с цепочками, утверждать не берусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, pppoetest сказал:

Емнип, под капотом у микрота обычный iptables, значит возможны варианты с цепочками, утверждать не берусь.

Я все до конца еще не изучил , только начал разбираться с микротом, на юниксе фаервол прост и логичен . Здесь я так понял что у моста свой загадочный фаервол , как оно будет под нагрузкой работать х.з. , на столе работает вроде адекватно . Сейчас я думаю как скрипт управления и синхронизации с базой упростить. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Tygra сказал:

но контролировать их образование по мак адресу .

гланды удалять исключительно через ж...?

 

Чем способ авторизации через радиус какой-нибудь не устраивает?

 

Хоть по маку, хоть по логину с паролем

 

Имхо, от 1000 l2 правил и тазик склеится

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, myth сказал:

гланды удалять исключительно через ж...?

 

Чем способ авторизации через радиус какой-нибудь не устраивает?

 

Хоть по маку, хоть по логину с паролем

 

Имхо, от 1000 l2 правил и тазик склеится

Читайте выше , оборудование транзитное, авторизация осуществляется на вышестоящих серверах к которым нет доступа.  Что либо изменить в данной системе , ровно как способ авторизации не возможно, грубить при этом совершенно не обязательно .  Требуется лишь контроль доступа к вышестоящим серверам по мак адресу , зачем это - надо , что либо изменить не возможно . Для авторизуемых не должно ничего измениться , они как логинились на вышестоящем сервере , так и логиниться , трафик Л2 , л3 только внутри туннелей , который мы не трогаем ... На "тазике" крутится около 6000 таких правил и ничего у него не "склеивается" . Почему - я выше обьяснил , не вижу особых отличий от которых загнется микрот . Вот концепция фаервола, после юникса , мягко выражаясь не адекватная, но это скорее с непривычки, не страшно - разберемся .   

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Tygra сказал:

Требуется лишь контроль доступа к вышестоящим серверам по мак адресу

Извините, но это не контроль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

29 минут назад, pppoetest сказал:

Извините, но это не контроль.

Прямо жесткого контроля всего и вся не требуется , как я уже не однократно говорил, авторизацией  занимается вышестоящая организация , она и осуществляет основной контроль   . На данный момент с меня требуется только чистка и доступ к авторизации по маку , больше ничего  ..  Да понимаю что система мягко выражаясь не стандартная и реализовано как то через "опу" , но что дали то и "работаем" , изменить систему нет никакой возможности ....

 

P\S По всей видимости все же надо городить огород из километра правил ... Ну попробую , не получается у тех кто ничего не делает , посмотрим что выйдет , я думаю будет все нормально ... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если авторизация уже есть, то зачем что-то дополнительно ограничивать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, myth сказал:

зачем что-то дополнительно ограничивать

Как я уже отметил выше , система не стандартная от того очевидные вещи не получаются очевидно , что вам кажется бессмысленным здесь работает и в структуре всей системы вполне логично , ну если не учитывать что оно как то все через одно место .. И не плохо функционирует уже около 10 лет ...  К сожалению в наших реалиях только так , собственно и этому рады ) ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Провел не большой тест под нагрузкой , поток около 800мбит, добавлял одинаковых правил для теста нагрузки на процессор . В общем микроту "поплохело" после 1000 "действующих" правил т.е. абсолютно весь трафик проходил через все 1000 правил , я ожидал гораздо худшего. Можно смело городить "огород" ) ..  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.