ipfw : XXXX Accept MAC in via rl0

[freddy]

hallo leute,

in meinem logfile sehe ich viele eintraege im format

Accept MAC in/out via rl0/rl1

welche regeln muss ich denn einbauen, damit genau diese packete, die diesen logeintrag verursachen matchen?

ich komm einfach nicht dahinter

ahja die fw laeuft in einem uniteilnetz als router.

ciao freddy

 

[freddy]

ich muss noch dazusagen, im moment laufen sie durch meine letzte regel im regelsatz

allow all from any to any

diese muss aber raus.

 

[qfat]

also eigentlich müsstest du nur den log abtippen und nen

ipfw add [deny|allow]

davor hängen.

 

[freddy]

also eigentlich müsstest du nur den log abtippen und nen

ipfw add [deny|allow]

davor hängen.

hi qfat,

das dachte ich mir auch so, nur funzt das net. mac ist wohl in dem falle nicht als protokoll anzusehen,wie andere logeintraege vermuten lassen wuerden.


von daher weiss ich net wie und wo ich ansetzen soll.

 

[qfat]

also mit mac habe ich auch mal rumgespielt und kam zu nix!
obwohl ich mich an man ipfw gehalten habe

 

[qfat]

aus zug aus man ipfw

The following options are not implemented by ipfw1:

             dst-ip, dst-port, layer2, mac, mac-type, src-ip, src-port.

ansonsten

{ MAC | mac } dst-mac src-mac
             Match packets with a given dst-mac and src-mac addresses, speci-
             fied as the any keyword (matching any MAC address), or six groups
             of hex digits separated by colons, and optionally followed by a
             mask indicating the significant bits.  The mask may be specified
             using either of the following methods:

             1.      A slash (/) followed by the number of significant bits.
                     For example, an address with 33 significant bits could be
                     specified as:

                           MAC 10:20:30:40:50:60/33 any

             2.      An ampersand (&) followed by a bitmask specified as six
                     groups of hex digits separated by colons.  For example,
                     an address in which the last 16 bits are significant
                     could be specified as:

                           MAC 10:20:30:40:50:60&00:00:00:00:ff:ff any

                     Note that the ampersand character has a special meaning
                     in many shells and should generally be escaped.

mehr weiß ich auch nicht!
wie gesagt ich habs probiert aber nie geschafft!

 

[qfat]

hab mal nen bisl rumgespielt und so gehts:

ipfw add NENUMMER [deny|allow] PROTOKOLL from SOURCEIP to DESTIP mac DESTMAC SOURCEMAC

 

[freddy]

hab mal nen bisl rumgespielt und so gehts:

ipfw add NENUMMER [deny|allow] PROTOKOLL from SOURCEIP to DESTIP mac DESTMAC SOURCEMAC

thx qfat,

das funzt auch super, ich glaube ich hatte meine frage noch genauer formulieren muessen.
jetzt erstma ein auszug aus den regeln

03000 30644 14212048 allow ip from 141.6x.xx.111 MAC any 00:aa:bb:cc:dd:ee
any keep-state
03002 24 1200 allow ip from any to 141.6x.xx.111 established

05000 80 6678 deny log ip from 141.6x.x.0/24 to any
06000 62550 5762314 allow log ip from any to any

im prinzip wird in unserem teilnetz eine ip und eine mac gebunden. unser hrz will das so. nunja am anfang hatte ich die 6000er regel net drin und das phaenomen war halt, das die fw nach ca 3 min nichts mehr gefiltert hat. sie blockte alles.

von daher habe ich die 6000er reingenommen um zu schauen was da noch alles abgeht. jetzt laeuft alles super stabil

das komische sind halt folgende ausgaben

Jun 14 23:16:12 rouxxx kernel: ipfw: 6000 Accept MAC out via rl0
Jun 14 23:16:14 rouxxx kernel: ipfw: 6000 Accept MAC in via rl1


jo dafuer brauche ich halt regeln, damit die allow any to any regel verschwinden kann. die darf da net drin sein, da sie ja im prinzip wieder alles aushebelt.

selbst mit ethereal komm ich nicht dahinter, welches protokoll ich noch vergesse

ciao freddy

 

[freddy]

mal sehen ob ich danach mehr im logfile sehe

klick