[WL::Techniek] ipfw allow

Richard van Mansom richard at vanmansom.net
Sun Jan 16 21:10:35 UTC 2011


2011/1/16 Rick van der Zwet <info at rickvanderzwet.nl>
>
> 2011/1/16 Richard van Mansom <richard at vanmansom.net>:
> > z2011/1/15 Rick van der Zwet <info at rickvanderzwet.nl>
> ...
> > Probleem is dat we op layer2 niveau verkeer toestaan en op layer3 verkeer
> > rerouten.
> >
> > Nog een goed idee?
>
> VZIW kan je ook op mac filteren op layer3 (gewoon die layer2 item
> weghalen). Ben je van het probleem af. Eventueel naar het het einde
> van de ruleset laten springen zodat ie die fwd regel niet evaluleert.

Dat  was een van de eerste dingen die ik probeerde. Als ik die layer2
niet toevoeg en
net.link.ether.ipfw: niet op 1 zet. Dan wordt er helemaal niks gedaan
met de mac rules. Is ook te verklaren door de man page

==Quote==
		  ^    to upper layers	  V
		  |			  |
		  +----------->-----------+
		  ^			  V
	    [ip(6)_input]	    [ip(6)_output]     net.inet(6).ip(6).fw.enable=1
		  |			  |
		  ^			  V
	    [ether_demux]	 [ether_output_frame]  net.link.ether.ipfw=1
		  |			  |
		  +-->--[bdg_forward]-->--+	       net.link.bridge.ipfw=1
		  ^			  V
		  |	 to devices	  |
==unQuote==
==Quote==
     Note that as packets flow through the stack, headers can be stripped or
     added to it, and so they may or may not be available for inspection.
     E.g., incoming packets will include the MAC header when ipfw is invoked
     from ether_demux(), but the same packets will have the MAC header
     stripped off when ipfw is invoked from ip_input() or ip6_input().
==unQuote==


ether_demux wordt alleen uitgevoerd als de sysctl net.link.ether.ipfw
aanstaat. En als we op layer 3 zijn dan wordt ip_input() uitgevoerd en
zoals vorige quote aangeeft wordt de mac info gestript.

of zie ik dat verkeerd?

Richard



More information about the Techniek mailing list