MAC-Adresse in pf-table?

Herakles

Profifragensteller
Moin!

Ich möchte gerne eine MAC-Adresse in ein Table innerhalb meiner pf.conf einbinden. Ist das mit dem pf möglich?

Es soll einer bestimmten Karte ermöglicht werden, die als Router fungierende OBSD-Maschine mit pf passieren zu können.

Danke, Herakles
 
mac ist vor pf...

erläutere doch mal ein wenig genauer, was du machen willst und nicht wie du versuchst es umzusetzen.
vielleicht gibt es bessere Lösungswege.

auf bald
oenone
 
Hi oenone!

Folgendes ist angedacht:

an der FH meiner Wahl ist ein kleiner OBSD-Router incl. Firewall im Einsatz in einem Labor. Hinter dem OBSD-Rechner stehen 7 Windows-Rechner.

Durch eine pf-Regel habe ich die Möglichkeit genutzt, die Aussenwelt bis auf einen bestimmten Raum unserer FH (in diesem Raum werden immer dieselben IP-Adressen vergeben) von einem Lizenzservice-Server innerhalb des Labors abzuschirmen. Sinn der Übung war es, Leuten nicht die Möglichkeit zu geben, sich die entsprechende Software aus dem Internet zu laden und dann den Lizenz-Server im Labor von zu Hause zu nutzen nur durch Kenntnis der entsprechenden IP-Adresse des Servers.

Nun wird ein weiterer Rechner angeschafft, der ausserhalb des Labors stehen wird. Aus sicht des Servers steht dieser Client dann also hinter dem pf.

Ich möchte diesem Rechner, der neu hinzukommen wird, die Erlaubnis erteilen, auf den Lizenzserver zuzugreifen. Da dessen IP jedoch dynamisch vergeben werden wird, kann ich keinen bestimmten Adressbereich und auch keine bestimmte IP für die entsprechende Portrange freigeben.

Da dachte ich mir, dass ich diese Erlaubnis basieren auf der MAC vergebe. Offenbar ist das aber so nicht machbar.

Soviel zur näheren Beschreibung der Sachlage.


Herakles
 
Du willst ein VPN herstellen. :)

Zumal du uebers Internet nicht auf MAC-Adressen filtern kannst. Stell dir mal vor, was so ein Internet-Router genau macht.
 
Herakles schrieb:
Da dachte ich mir, dass ich diese Erlaubnis basieren auf der MAC vergebe. Offenbar ist das aber so nicht machbar.

Herakles
Jacek Artymiak beschreibt in "Building Firewalls with OpenBSD und PF" ab Seite 91ff wie man Filterregeln auf Basis von MAC-Adressen erstellt. Ob damit das Problem zu lösen ist wage ich zu bezweifeln, da man MAC-Adressen zumindest temporär ändern kann.
 
Zuletzt bearbeitet von einem Moderator:
Ich wollte gerade mal die Diskussion neu aufnehmen weil mittlerweile (zumindest
ich habs eben erst endeckt durchs Stöbern) im FAQ zum PF auf openbsd.org
(siehe link) darauf verwiesen wird es so zumachen,wie double-p es beschrieb.

double-p schrieb:
Nein.

(Hackaround: ueber half-ass-bridging ein TAG anbringen und auf dem filtern -
nein, willst du nicht)

http://www.openbsd.org/faq/pf/de/tagging.html#ethernet

Birgt dieser "hack" Probleme oder Sicherheitsrisken?

Welche Gründe gibt es eigentlich MAC Adressen bzw Filtern auf OSI Layer 2
nicht direkt in PF zu integrieren?
 
Zurück
Oben