[WL::Techniek] ipfw allow

Richard van Mansom richard at vanmansom.net
Sun Jan 16 19:55:11 UTC 2011


z2011/1/15 Rick van der Zwet <info at rickvanderzwet.nl>

> 2011/1/7 Richard van Mansom <richard at vanmansom.net>:


> > Als ik de volgende regel opgeef dan wordt de rest van de ipfw regels
> > uitgevoerd.
> > ipfw add 8900 allow ip from any to any MAC any 00:0a:e4:3e:cd:d9 layer2
>
> Gokje (zie ook layer2 beschrijving in man 8 ipfw): Die matchen enkel
> packets op layer2. Layer3 packets worden hierdoor niet mee gematched
> en zullen dus doorgaan met de volgende regels te evalueren.
>

Zover ik weet bestaan er geen packets op layer2 (dat zijn frames :-), dacht
ik ). Maar je mailtje heeft wel geholpen. Ben er achter waarom het verkeer
zich gedraagt als het doet (wel deny en geen allow). Nu nog de oplossing
vinden.

Zoals de man page vertelde wordt verkeer op verschillende plaatsen in de
stack gecontroleerd.

Eerst op layer2 niveau. Bij een deny is simpel. Blokkeert verkeer, dus niet
verder de stack door. Bij een allow wordt verkeer toegestaan. Dat is ook de
bedoeling. Echter wordt een stukje verder op de de stack nogmaals
gecontroleerd (layer 3). Echter daar is geen layer2 informatie aanwezig en
wordt de layer2 allow dus niet gecheckt. En wordt de forward uitgevoerd (wat
we niet willen) bij een allow.

Probleem is dat we op layer2 niveau verkeer toestaan en op layer3 verkeer
rerouten.

Nog een goed idee?

Richard
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lijst.wirelessleiden.nl/pipermail/techniek/attachments/20110116/5c631495/attachment.html>


More information about the Techniek mailing list