Jump to content

фильтр на бридже

Mechanic
 Share

Recommended Posts

Mechanic

Mechanic

Posted
Posted (edited)

На машине freebsd+ipfwкоторая работает как шейпер через bridge, требуется отдельных абонов завернуть на стоп-страницу.

00080      0         0 skipto 60000 ip from table(44) to any
50000 232587 202166927 allow ip from any to any in via igb0
50010 228424 204394616 allow ip from any to any out via igb0
50020 228162 204252601 allow ip from any to any in via igb1
50030 232034 201767058 allow ip from any to any out via igb1
50040      1        64 allow ip from any to any in via bridge0
50050 229564 203124329 allow ip from any to any out via bridge0
60000      0         0 fwd 10.17.254.4,8080 tcp from table(44) to any dst-port 80,8080
60010      0         0 allow tcp from 10.17.254.4 to table(44)

Помогите реализовать, правила ipfw

Edited by Mechanic
roysbike

roysbike

Posted
Posted (edited)

На машине freebsd+ipfwкоторая работает как шейпер через bridge, требуется отдельных абонов завернуть на стоп-страницу.

00080      0         0 skipto 60000 ip from table(44) to any
50000 232587 202166927 allow ip from any to any in via igb0
50010 228424 204394616 allow ip from any to any out via igb0
50020 228162 204252601 allow ip from any to any in via igb1
50030 232034 201767058 allow ip from any to any out via igb1
50040      1        64 allow ip from any to any in via bridge0
50050 229564 203124329 allow ip from any to any out via bridge0
60000      0         0 fwd 10.17.254.4,8080 tcp from table(44) to any dst-port 80,8080
60010      0         0 allow tcp from 10.17.254.4 to table(44)

Помогите реализовать, правила ipfw

вы хотите выкинуть абонента на страницу , с сообщением нет средств?

Edited by roysbike
Dyr

Dyr

Posted
Posted

У вас же до fwd не дойдёт при таких условиях ничего, вы в начале файервола разрешаете всё! Пакеты, напомню, идут до первого allow.

t0ly

t0ly

Posted
Posted

У вас же до fwd не дойдёт при таких условиях ничего, вы в начале файервола разрешаете всё! Пакеты, напомню, идут до первого allow.

до fwd не дойдёт потому что он работает с ip_input, а тут бридж

vurd

vurd

Posted
Posted

fwd будет работать только на маршрутизирующем устройстве, в режиме бриджа - нет.

задача не решается стандартными средствами.

 

p.s. сейчас появится Ivan_83 и скажет "пищите нетграф ноду"

Ivan_83

Ivan_83

Posted
Posted
p.s. сейчас появится Ivan_83 и скажет "пищите нетграф ноду"

ipfw вроде умел на L2 работать, правда тонкостей не знаю.

 

Если он хотя бы отматчить может по L3-IP тогда можно завернуть на нетграф: ng_ipfw - ng_eiface в промиске, а с него уже как обычно трафик заворачивать, ибо он пройдёт ip_input.

Заработает при условии что ipfw будет на него заворачивать л2 пакеты отматченные.

Mechanic

Mechanic

Posted
  • Author
Posted (edited)

fwd правила срабатывают, но пакеты куда-то деваются

00080       33545        5554528 skipto 60000 ip from table(44) to any
05000 12093445900  9344017611156 pipe tablearg ip from any to table(6) out xmit igb0
50000 14156318606 11962873252814 allow ip from any to any in via igb0
50010   374555657   315238047254 allow ip from any to any out via igb0
50020 12556302470  9769568548103 allow ip from any to any in via igb1
50030 14145452145 11957316082668 allow ip from any to any out via igb1
50040       14697         940608 allow ip from any to any in via bridge0
50050 13239574062 10747612425341 allow ip from any to any out via bridge0
60000        7313         740042 fwd 10.17.254.4,8080 tcp from table(44) to any dst-port 80,8080
60010           0              0 allow tcp from 10.17.254.4 to table(44)
60020           0              0 allow tcp from table(44) to 10.17.254.4

 

до порта 8080 они не доходят

согласно

A fwd rule will not match layer-2 packets (those received on

ether_input, ether_output, or bridged).

те работать не будут :(

придется думать альтернативный вариант

а можно ли такое перенаправление сделать на cisco3560g ?

Edited by Mechanic

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.