Добрый день.
Поднял бридж, но он не фильтрует трафик.
настройки sysctl:


net.link.ether.bridge_ipfw=1
net.link.ether.bridge.enable=1
net.link.ether.bridge.config=fxp1,fxp0
net.inet.ip.fw.enable=1
net.link.ether.ipfw=1


когда делаешь deny ip from any to any, то закрывает и ничего не ходит, но когда пытаешься зарезать определенный адрес, то правило игнорируется.
Может кто знает в чем может быть проблема?

ifconfig навсякий случай:

fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.20.3 netmask 0xffffff00 broadcast 255.255.255.0
ether 00:a0:c9:65:c1:35
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fxp1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
ether 00:90:27:85:b7:95
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
ether 4c:00:10:60:67:ca
media: Ethernet autoselect
status: no carrier
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
inet 192.168.5.28 netmask 0xffffff00 broadcast 192.168.5.255
ether 00:0f:ea:f9:a6:ff
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000

ты правила лучше покажи)))

Да ни какие правила не работают.... обычно такие пишу:

# ipfw show
00100 0 0 deny ip from 192.168.20.2 to any
65535 682649 143563263 allow ip from any to any

Эм... я, конечно дико извиняюсь, а чего вы хотели то? При Вашей конфигурации под правило:
00100 0 0 deny ip from 192.168.20.2 to any »
попадет только машина 192.168.20.2 которая осуществит обращение к 192.168.20.3, любой другой пакет доблестно подпадет под правило:65535 682649 143563263 allow ip from any to any »

2 WhitePangolin
хм.... а как же тогда сделать, что бы ему вообще любой доступ закрывался?

и почему оно так странно отрабатывает? если написано any?

но даже когда я указываю ему конкретный запрет:

00200 deny ip from 192.168.20.2 to 192.168.20.1

ходит...

Ничего странного в этом нет. Когда у вас 192.168.20.2 обращается к 192.168.20.1 то обращение идет минуя 192.168.20.3. Соответственно ничего и не блокируется. Вот если бы у вас 192.168.20.2 и 192.168.20.1 находились в разных сетях подключенных к разным интерфейсам машины 192.168.20.3, тогда трафик бежал бы сквозь машину и соответственно рулился бы.

хм.... а как же тогда сделать, что бы ему вообще любой доступ закрывался? »
Идеальный вариант - выдернуть кабель из свича, но можно обойтись менее радикальными мерами, установив на "плохой" машине фаервол и дать ему правило deny ip from any to any

2 WhitePangolin
так 20,2 и 20,1 как раз присоединены к разным сетевым интерфейсам. Даже если на fxp0 нет ip это ничего не меняет...

/me устал телепатировать и перешел в режим пассивного наблюдения за веткой

схема такая:
catalyst<----fxp0--->bridge<---fxp1--->router.

на роутере весит сабинтерфейс с айпи 192,168,20,1
на каталисте в порт воткнут комп с айпи 192,168,20,2

весь трафик идет через бридж, tcpdump его видит. ipfw не блокирует и вообще ни как на него не реагирует. кроме как deny any any.

на интерфейсах бриджа айпи адреса не прописаны, кроме, как на управляющей карте, который в бридж не входит.