форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Фильтрация PPPoE пакетов "
Сообщение от Делфылын (??) on 17-Авг-05, 13:41  (MSK)
Доброго дня! Стоит задача, нужно пропустить через файервол (FreeBSD 4.10 ipfw) только пакеты PPPoE и ничего другого подскажите правило для ipfw / Заранее благодарю.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Фильтрация PPPoE пакетов "
Сообщение от toor99 (ok) on 17-Авг-05, 16:18  (MSK)
>Доброго дня! >Стоит задача, нужно пропустить через файервол (FreeBSD 4.10 ipfw) только пакеты PPPoE >и ничего другого подскажите правило для ipfw / >Заранее благодарю. По-моему, никак (PPPoE пакеты - это L2), но если ошибаюсь, то очень хотел бы узнать, в чем.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Фильтрация PPPoE пакетов "
Сообщение от redmoon (??) on 17-Авг-05, 16:27  (MSK)
>Доброго дня! >Стоит задача, нужно пропустить через файервол (FreeBSD 4.10 ipfw) только пакеты PPPoE >и ничего другого подскажите правило для ipfw / >Заранее благодарю. эээ не совсем понил .. а можно базовую конфигурацию вашей сети .. . что значит ПППоЕ пакеты .. . у  вас RADIUS-server ?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Фильтрация PPPoE пакетов "
Сообщение от scream (ok) on 17-Авг-05, 16:42  (MSK)
>Доброго дня! >Стоит задача, нужно пропустить через файервол (FreeBSD 4.10 ipfw) только пакеты PPPoE >и ничего другого подскажите правило для ipfw / Что сие значит? PPPoE - протокол передачи ppp через ethernet. Если связь с провайдером через PPP, а на компе только ethernet-платы, то все пакеты идут через сетевую карту на модем по PPPoE и других пакетов и быть не может (это весьма утрированное представление, но достаточно объективное). Поставте правильно вопрос.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Фильтрация PPPoE пакетов "
	Сообщение от Делфылын (??) on 17-Авг-05, 17:05  (MSK)
	>>Доброго дня! >>Стоит задача, нужно пропустить через файервол (FreeBSD 4.10 ipfw) только пакеты PPPoE >>и ничего другого подскажите правило для ipfw / >Что сие значит? PPPoE - протокол передачи ppp через ethernet. Если связь >с провайдером через PPP, а на компе только ethernet-платы, то все >пакеты идут через сетевую карту на модем по PPPoE и других >пакетов и быть не может (это весьма утрированное представление, но достаточно >объективное). Поставте правильно вопрос. Народ какя нафиг разница, какой интерфейс? Это не сервер доступа...а задача стоит именно так как я написал, и не додумывайте за меня.Нет у меня там никакого модема. Есть пакеты разных приложений и служб, файеру нужно пропустить только PPPoE, на нем нет ни каких авторизаций и RADIUS стоит в другом месте, мне важно пропускать только PPPoE //////// Скажите по этому поводу мнение
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Фильтрация PPPoE пакетов "
	Сообщение от redmoon (??) on 17-Авг-05, 17:09  (MSK)
	>>>Доброго дня! >>>Стоит задача, нужно пропустить через файервол (FreeBSD 4.10 ipfw) только пакеты PPPoE >>>и ничего другого подскажите правило для ipfw / >>Что сие значит? PPPoE - протокол передачи ppp через ethernet. Если связь >>с провайдером через PPP, а на компе только ethernet-платы, то все >>пакеты идут через сетевую карту на модем по PPPoE и других >>пакетов и быть не может (это весьма утрированное представление, но достаточно >>объективное). Поставте правильно вопрос. > >Народ какя нафиг разница, какой интерфейс? Это не сервер доступа...а задача стоит >именно так как я написал, и не додумывайте за меня.Нет у >меня там никакого модема. >Есть пакеты разных приложений и служб, файеру нужно пропустить только PPPoE, на >нем нет ни каких авторизаций и RADIUS стоит в другом месте, >мне важно пропускать только PPPoE //////// Скажите по этому поводу мнение > БЛИА ... толи вопрос не прально задан .. толи мну не хватает компетентности ...толи я идиот... . но я не знаю ответа на вопрос. или не понимаю, что от мну хочет аффтар.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Фильтрация PPPoE пакетов "
	Сообщение от scream (ok) on 17-Авг-05, 18:04  (MSK)
	Т.е. твой fw стоит между двумя устройствами, общающимися по PPPoE? Тогда он должет работать как ethernet bridge, т.е. фактически это свич с функцией файервола, а не роутер. Если так, тогда следующее: PPPoE можно отличить от остальных ethernet пакетов только разобрав его содержимое. А ipfw - это ip-прога, она может работать только с заголовками третьего уровня. Ну еще может MAC-и из второго уровня вытянуть. Т.е. без анализа содержащихся в пакете данных (только по ip-заголовкам) ты никак PPPoE от других не отличишь. А значит задача не решается данными средствами. Это все равно, что при помощи ipfw пытаться блокировать доступ к определенному http-контенту (например, запрещать скачивать mp3).
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Фильтрация PPPoE пакетов "
	Сообщение от Делфылын (??) on 18-Авг-05, 12:18  (MSK)
	>Т.е. твой fw стоит между двумя устройствами, общающимися по PPPoE? >Тогда он должет работать как ethernet bridge, т.е. фактически это свич с >функцией файервола, а не роутер. Если так, тогда следующее: PPPoE можно >отличить от остальных ethernet пакетов только разобрав его содержимое. А ipfw >- это ip-прога, она может работать только с заголовками третьего уровня. >Ну еще может MAC-и из второго уровня вытянуть. Т.е. без анализа >содержащихся в пакете данных (только по ip-заголовкам) ты никак PPPoE от >других не отличишь. А значит задача не решается данными средствами. Это >все равно, что при помощи ipfw пытаться блокировать доступ к определенному >http-контенту (например, запрещать скачивать mp3). Вот действительно толковый ответ (смело утверждаю, потому как изучаем этот вопрос паралельно). Из чего следует следующий вопрос, чем анализировать ethernet, дабы отличить котлеты от мух?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Фильтрация PPPoE пакетов "
	Сообщение от scream (ok) on 18-Авг-05, 12:38  (MSK)
	Я вообще то несколько напартачил в этом ответе. PPPoE не может ходить через свич. Насколько я понимаю, PPPoE - это PPP через напрямую соединенные куском кабеля Ethernet-интерфейсы. Единственное, что может встречаться внутри этого куска - это интерфейс-конверторы (ADSL-модемы, например). Поэтому вышеуказанная Фряха работает даже не как свич, а как интерфейс-конвертор, а скорее даже как репитер, только переталкивая пакеты из Ethernet в Ethernet. :-) Вот такой каламбур. Непонятно, зачем такая схема может понадобиться, но раз уж есть, значит зачем-то надо. А вот чем фильтровать Ethernet-кадры я даже и не догадываюсь. Да и опять же: как там могут быть еще какие-то пакеты кроме PPPoE, если это репитер PPPoE?! Другими словами, PPPoE - это 2 устройства, соединенных кабелем напрямую или через репитеры (ну или интерфейс конвертеры). Таким образом на эти репитеры (интерфейс-конвертеры) могут попадать только PPPoE-пакеты и ничего более. Что тогда мы собираемся отфильтровывать - непонятно. Я думаю, что Делфылын сам немного не понимает, чего же ему надо, или не понимает где у него PPPoE. Подробную схему в студию! Правка: Я здесь в корне не прав, но слово не воробей - ..... Сказал, так сказал. Теперь буду умнее.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Фильтрация PPPoE пакетов "
	Сообщение от A Clockwork Orange on 18-Авг-05, 12:44  (MSK)
	свич пожалуйста
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Фильтрация PPPoE пакетов "
	Сообщение от Grey on 18-Авг-05, 12:46  (MSK)
	>Я вообще то несколько напартачил в этом ответе. PPPoE не может ходить >через свич. Насколько я понимаю, PPPoE - это PPP через напрямую >соединенные куском кабеля Ethernet-интерфейсы. PPPoE может ходить через что угодно, но ТОЛЬКО в одном Ethernet сегмента... т.е. только роутер может отрезать это дело так как он сегментирует Ethernet.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Фильтрация PPPoE пакетов "
	Сообщение от scream (ok) on 18-Авг-05, 12:50  (MSK)
	т.е. я могу подключить 2 компа к свичу, а не напрямую и соединиться через PPPoE. А где ж мне указывать к какому компу я хочу подключиться? Я не умничаю, мне действительно интересно. Я всю жизнь думал, что ppp - протокол связи между 2-мя устройствами, соединенными одним куском кабеля.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Фильтрация PPPoE пакетов "
	Сообщение от Grey on 18-Авг-05, 12:56  (MSK)
	>т.е. я могу подключить 2 компа к свичу, а не напрямую и >соединиться через PPPoE. А где ж мне указывать к какому компу >я хочу подключиться? Я не умничаю, мне действительно интересно. Я всю >жизнь думал, что ppp - протокол связи между 2-мя устройствами, соединенными >одним куском кабеля. да, можете... клиент PPPoE проорёт по Ethernet-у в поисках сервера PPPoE, он откликнется и дело поедет дальше... только вот если кто-то выставит в сегмент свой поддельный PPPoE сервак, тогда возможно веселье :) но это уже другая история...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Фильтрация PPPoE пакетов "
	Сообщение от Grey on 18-Авг-05, 13:00  (MSK)
	>>т.е. я могу подключить 2 компа к свичу, а не напрямую и >>соединиться через PPPoE. А где ж мне указывать к какому компу >>я хочу подключиться? Я не умничаю, мне действительно интересно. Я всю >>жизнь думал, что ppp - протокол связи между 2-мя устройствами, соединенными >>одним куском кабеля. > >да, можете... клиент PPPoE проорёт по Ethernet-у в поисках сервера PPPoE, он >откликнется и дело поедет дальше... только вот если кто-то выставит в >сегмент свой поддельный PPPoE сервак, тогда возможно веселье :) но это >уже другая история... ... и ещё (забыл).... указывать к какому компу подключаться вы собрались как? указать IP того компа? в идеале должно быть так: у Вас на интерфейсе нет никакого IP, Вы поднимаете PPPoE канал и в процессе поднятия сервак PPPoE выдайт вам и IP и всё что нужно для работы на уровне IP. Вот в случае с pptp можно указать конкретный сервак pptp, потому как вы имеете опорную IP сеть, по которой и работаете и по ней же доходите до одного или другого сервака pptp
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Фильтрация PPPoE пакетов "
	Сообщение от scream (ok) on 18-Авг-05, 13:04  (MSK)
	Вот это да! Не слабо! Оказывается PPPoE не такой уж PPP. :-) Спасибо, я стал умнее. Таким образом, сообщение про репитеры и интерфейс конвертеры можно смело отменять. Щас я его кокну.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Фильтрация PPPoE пакетов "
	Сообщение от Alexander Grigoriev on 18-Авг-05, 13:04  (MSK)
	>т.е. я могу подключить 2 компа к свичу, а не напрямую и >соединиться через PPPoE. А где ж мне указывать к какому компу >я хочу подключиться? Я не умничаю, мне действительно интересно. Я всю PPPoE клиент делает широковещательный запрос. Таким образом обнаруживает все доступные PPPoE серверы. Настройками клиента можно выбрать любой из доступных серверов. Конкретные настройки зависят от того, какой клиент используется. >жизнь думал, что ppp - протокол связи между 2-мя устройствами, соединенными >одним куском кабеля. Неправильно думал. PPP может работать через что угодно: через ethernet, через TCP, через UDP и т.д.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Фильтрация PPPoE пакетов "
	Сообщение от Делфылын (??) on 18-Авг-05, 13:04  (MSK)
	>Я вообще то несколько напартачил в этом ответе. PPPoE не может ходить >через свич. А кто такое сказал, ходит и очень даже хорошо. (Я так понимаю у народа устойчивое мнение, что PPPoE применимо только к ADSL линкам и подобному об-е) >Я думаю, что Делфылын сам немного не понимает, чего же ему надо, >или не понимает где у него PPPoE. Подробную схему в студию! Вопрос в самом начальном уровне был прост и краток, как ВЫСТРЕЛ:), как отфильтровать пакеты PPPoE, но раз мы любим долго и нудно рапостранятся, то расскажу, есть схема городская сеть на п-296 и soho свитчах (не будем говорить, что это не правильно и не хорошо, и так понятно, что плохо), и эта сеть используется как транспорт для PPPoE, в центре всего этого безобразия надо поставить своего рода фильтр-повторитель(термин условный), по технологии LAN сети не любят, когда в одноранговой сети становится более 4-5 каскадов коммутаторов, так называемое избыточное каскадирование(иногда доходит до 16 -20 каскадов), как не странно вся эта сеть работает(с перемнным успехом). Так вот в центре всего этого безобразия(центр название довольно условное, скорей всего на одной из веток) нужно поставить своеродный фильтр повторитель, который будет отфильтровsвать все, то за что не платит абонент, лан трафик, трафик игрушек сетевых и т.д. и т.п.. Теперь понятно зачем из всего этого хлама нужно выделять PPPoE или нет?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Фильтрация PPPoE пакетов "
	Сообщение от Alexander Grigoriev on 18-Авг-05, 13:12  (MSK)
	>>Я вообще то несколько напартачил в этом ответе. PPPoE не может ходить >>через свич. >А кто такое сказал, ходит и очень даже хорошо. (Я так понимаю >у народа устойчивое мнение, что PPPoE применимо только к ADSL линкам >и подобному об-е) > > > >>Я думаю, что Делфылын сам немного не понимает, чего же ему надо, >>или не понимает где у него PPPoE. Подробную схему в студию! > Вопрос в самом начальном уровне был прост и краток, как ВЫСТРЕЛ:), >как отфильтровать пакеты PPPoE, но раз мы любим долго и нудно >рапостранятся, то расскажу, есть схема городская сеть на п-296 и soho >свитчах (не будем говорить, что это не правильно и не хорошо, >и так понятно, что плохо), и эта сеть используется как транспорт >для PPPoE, в центре всего этого безобразия надо поставить своего рода >фильтр-повторитель(термин условный), по технологии LAN сети не любят, когда в одноранговой >сети становится более 4-5 каскадов коммутаторов, так называемое избыточное каскадирование(иногда доходит >до 16 -20 каскадов), как не странно вся эта сеть работает(с >перемнным успехом). >Так вот в центре всего этого безобразия(центр название довольно условное, скорей всего >на одной из веток) нужно поставить своеродный фильтр повторитель, который будет >отфильтровsвать все, то за что не платит абонент, лан трафик, трафик >игрушек сетевых и т.д. и т.п.. > >Теперь понятно зачем из всего этого хлама нужно выделять PPPoE или нет? > Вы неправильно подходите к решению данной  задачи. В так называемом вами "центре" надо ставить IP-маршрутизатор. На нем же поднять PPPoE сервер. И фильтровать то, что нужно на уровне IP. Про фильтрацию на уровне Ethernet лучше забудьте сразу.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Фильтрация PPPoE пакетов "
	Сообщение от Делфылын (??) on 18-Авг-05, 13:15  (MSK)
	> >Вы неправильно подходите к решению данной  задачи. >В так называемом вами "центре" надо ставить IP-маршрутизатор. >На нем же поднять PPPoE сервер. >И фильтровать то, что нужно на уровне IP. >Про фильтрацию на уровне Ethernet лучше забудьте сразу. Нет тут понятно, что топология ни к черту, идаже если следовать вашему примеру все равно останется много каскадов со всех стороно, и фильровать на уровне ethernet трудно..........но ятак понимаю, что возможно....
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Фильтрация PPPoE пакетов "
	Сообщение от Делфылын (??) on 18-Авг-05, 13:12  (MSK)
	Да кстати вот здесь http://www.nag.ru/goodies/articles/pppoe.html, написанно, что пакет с инкапсулированным PPPoE отличается от остальных тем, что в заголовке ETHER_TYPE указанно занчение  0x8863 или  0x8864 вот так, теперь вопрос к спецам, чем все енто разобрать и отфильтровать?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "Фильтрация PPPoE пакетов "
	Сообщение от dinq on 18-Авг-05, 17:08  (MSK)
	>Да кстати вот здесь http://www.nag.ru/goodies/articles/pppoe.html, написанно, что пакет с инкапсулированным PPPoE отличается >от остальных тем, что в заголовке ETHER_TYPE указанно занчение  0x8863 >или  0x8864 вот так, > > >теперь вопрос к спецам, чем все енто разобрать и отфильтровать? можно при помощи параметра mac-type deny ip from any to any mac-type 0x8863 deny ip from any to any mac-type 0x8864 allow ip from any to any layer2 чтобы задействовать фильтрацию layer-2 пакетов, нужно установить переменную sysctl net.link.ether.ipfw=1 да, работать это будет, если в системе собрана поддержка ipfw2
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "Фильтрация PPPoE пакетов "
	Сообщение от toor99 (ok) on 18-Авг-05, 18:11  (MSK)
	>можно при помощи параметра mac-type > >deny ip from any to any mac-type 0x8863 >deny ip from any to any mac-type 0x8864 >allow ip from any to any layer2 > >чтобы задействовать фильтрацию layer-2 пакетов, нужно установить переменную >sysctl net.link.ether.ipfw=1 > >да, работать это будет, если в системе собрана поддержка ipfw2 О! спасибо! Что-то в этом роде я и предполагал, но лень было разбираться. Теперь буду знать.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "Фильтрация PPPoE пакетов "
	Сообщение от Deac on 18-Авг-05, 20:08  (MSK)
	Нужно только наоборот :) deny all from any to any layer2 not mac-type arp,0x8863,0x8864 allow all from any to any layer2
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	25. "Фильтрация PPPoE пакетов "
	Сообщение от universite (ok) on 21-Авг-05, 01:30  (MSK)
	А сервер выдержит подобную нагрузку? Ведь не одна сотня юзверей...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "Фильтрация PPPoE пакетов "
Сообщение от deep_admin (ok) on 18-Авг-05, 13:57  (MSK)
>Доброго дня! >Стоит задача, нужно пропустить через файервол (FreeBSD 4.10 ipfw) только пакеты PPPoE >и ничего другого подскажите правило для ipfw / >Заранее благодарю. на линуксе эта проблема решается при помощи pppoe-relay, примерно так: pppoe-relay -S eth0 -C eth1 где eth0 - интерфейс смотрящий на pppoe-server eth1 - на клиента и все! и никакого ip-трафика! весь ip просто рубишь файрволом единственный минус - pppoe-relay работает в user-space, поэтому для пропуска многих мегабит надо мощную тачку
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "Фильтрация PPPoE пакетов "
	Сообщение от Делфылын (??) on 19-Авг-05, 17:40  (MSK)
	Господа, всем спасибо........ Очень плодотворно пообщались..........как выяснилось проблема имеет решение, и то о чем я говорил ........это не бред сумашедшего(что поднимает меня в собственных глазах:)))Отдельная благодарность проекту opennet////////////
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.