MAC-Adresse in pf-table?
- Ersteller Herakles
- Erstellt am
Herakles
Profifragensteller
Hi oenone!
Folgendes ist angedacht:
an der FH meiner Wahl ist ein kleiner OBSD-Router incl. Firewall im Einsatz in einem Labor. Hinter dem OBSD-Rechner stehen 7 Windows-Rechner.
Durch eine pf-Regel habe ich die Möglichkeit genutzt, die Aussenwelt bis auf einen bestimmten Raum unserer FH (in diesem Raum werden immer dieselben IP-Adressen vergeben) von einem Lizenzservice-Server innerhalb des Labors abzuschirmen. Sinn der Übung war es, Leuten nicht die Möglichkeit zu geben, sich die entsprechende Software aus dem Internet zu laden und dann den Lizenz-Server im Labor von zu Hause zu nutzen nur durch Kenntnis der entsprechenden IP-Adresse des Servers.
Nun wird ein weiterer Rechner angeschafft, der ausserhalb des Labors stehen wird. Aus sicht des Servers steht dieser Client dann also hinter dem pf.
Ich möchte diesem Rechner, der neu hinzukommen wird, die Erlaubnis erteilen, auf den Lizenzserver zuzugreifen. Da dessen IP jedoch dynamisch vergeben werden wird, kann ich keinen bestimmten Adressbereich und auch keine bestimmte IP für die entsprechende Portrange freigeben.
Da dachte ich mir, dass ich diese Erlaubnis basieren auf der MAC vergebe. Offenbar ist das aber so nicht machbar.
Soviel zur näheren Beschreibung der Sachlage.
Herakles
Folgendes ist angedacht:
an der FH meiner Wahl ist ein kleiner OBSD-Router incl. Firewall im Einsatz in einem Labor. Hinter dem OBSD-Rechner stehen 7 Windows-Rechner.
Durch eine pf-Regel habe ich die Möglichkeit genutzt, die Aussenwelt bis auf einen bestimmten Raum unserer FH (in diesem Raum werden immer dieselben IP-Adressen vergeben) von einem Lizenzservice-Server innerhalb des Labors abzuschirmen. Sinn der Übung war es, Leuten nicht die Möglichkeit zu geben, sich die entsprechende Software aus dem Internet zu laden und dann den Lizenz-Server im Labor von zu Hause zu nutzen nur durch Kenntnis der entsprechenden IP-Adresse des Servers.
Nun wird ein weiterer Rechner angeschafft, der ausserhalb des Labors stehen wird. Aus sicht des Servers steht dieser Client dann also hinter dem pf.
Ich möchte diesem Rechner, der neu hinzukommen wird, die Erlaubnis erteilen, auf den Lizenzserver zuzugreifen. Da dessen IP jedoch dynamisch vergeben werden wird, kann ich keinen bestimmten Adressbereich und auch keine bestimmte IP für die entsprechende Portrange freigeben.
Da dachte ich mir, dass ich diese Erlaubnis basieren auf der MAC vergebe. Offenbar ist das aber so nicht machbar.
Soviel zur näheren Beschreibung der Sachlage.
Herakles
vielleicht hilft authpf?
http://www.openbsd.org/faq/pf/authpf.html#intro
http://www.openbsd.org/faq/pf/authpf.html#intro
O
OM_A
Guest
Jacek Artymiak beschreibt in "Building Firewalls with OpenBSD und PF" ab Seite 91ff wie man Filterregeln auf Basis von MAC-Adressen erstellt. Ob damit das Problem zu lösen ist wage ich zu bezweifeln, da man MAC-Adressen zumindest temporär ändern kann.Herakles schrieb:
Zuletzt bearbeitet von einem Moderator:
bofh
Sysop From Hell
Ich wollte gerade mal die Diskussion neu aufnehmen weil mittlerweile (zumindest
ich habs eben erst endeckt durchs Stöbern) im FAQ zum PF auf openbsd.org
(siehe link) darauf verwiesen wird es so zumachen,wie double-p es beschrieb.
http://www.openbsd.org/faq/pf/de/tagging.html#ethernet
Birgt dieser "hack" Probleme oder Sicherheitsrisken?
Welche Gründe gibt es eigentlich MAC Adressen bzw Filtern auf OSI Layer 2
nicht direkt in PF zu integrieren?
ich habs eben erst endeckt durchs Stöbern) im FAQ zum PF auf openbsd.org
(siehe link) darauf verwiesen wird es so zumachen,wie double-p es beschrieb.
double-p schrieb:
http://www.openbsd.org/faq/pf/de/tagging.html#ethernet
Birgt dieser "hack" Probleme oder Sicherheitsrisken?
Welche Gründe gibt es eigentlich MAC Adressen bzw Filtern auf OSI Layer 2
nicht direkt in PF zu integrieren?