Могу ли я создать правило pf, включающее MAC-адрес вместо IP?

Question

Могу ли я создать правило pf, включающее MAC-адрес вместо IP?

Название говорит само за себя.

Я хочу создать правила в pf, работающем на OpenBSD 4.9 для perticular MAC-адреса, что-то вроде

pass in on eth0 from mac 00:04:34:5f:34:33 to mac 34:32:34:06:5e:22

Я прочитал это, но это не помогает!!

7

firewall mac-address openbsd pf

Источник

Vineet Menon 09 июл '12 в 15:01

2 ответа

Другие вопросы по тегам firewall mac-address openbsd pf

mandrake73 09 июл '12 в 15:11 2012-07-09 15:11 · Answer 1 · 2012-07-09 15:11

Если я хорошо помню, ты не сможешь. Вы можете фильтровать MAC-адрес только тогда, когда вы делаете это на мосту, если

2

Источник

mandrake73 09 июл '12 в 15:11

voretaq7 09 июл '12 в 17:11 2012-07-09 17:11 · Answer 2 · 2012-07-09 17:11

Как указало Mandrake, вы не можете фильтровать по MAC-адресу непосредственно в PF (это фильтр IP-пакетов, он не знает об этой "сетевой" вещи).

Что вы МОЖЕТЕ сделать, если ваша система действует как мост, - это пакеты тегов, основанные на MAC-адресе, а затем отфильтрованные на основе тега.

Из pf FAQ:

Пометка кадров Ethernet
Маркировка может выполняться на уровне Ethernet, если машина, выполняющая метку / фильтрацию, также выполняет функцию моста (4). Создав правила фильтра bridge(4), использующие ключевое слово tag, можно настроить PF для фильтрации на основе MAC-адреса источника или назначения. Правила Bridge(4) создаются с помощью команды ifconfig(8).
Пример:
# ifconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 tag USER1
И тогда в pf.conf:
pass in on fxp0 tagged USER1