| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
butcher
Зарегистрирован: 18.04.2003
Сообщения: 467
Откуда: Киров
|
 Добавлено: Вт Апр 01 2003 22:45 Заголовок сообщения: Вопрос по ipfw и IPX |
 |
|
FreeBSD 4.7
Чтобы разрешить протокол ARP в IPFW нужно добавить правило
add allow udp from 0.0.0.0 2054 to 0.0.0.0
можно ли как-нибуть так же разрешить и IPX?
если да, то какой код у него?
_________________
Нет ничего невозможного... |
|
| Вернуться к началу |
|
 |
Valera
Гость
|
| Добавлено: Ср Апр 02 2003 05:34 Заголовок сообщения: IPX это же совсем другой протокол и ipfw на него никак не влияет (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
butcher
Зарегистрирован: 18.04.2003
Сообщения: 467
Откуда: Киров
|
| Добавлено: Ср Апр 02 2003 07:24 Заголовок сообщения: Чё в нём принципиально такого другого? |
|
|
Чем IPX так принципиально отличается? те же самые пакеты, тоже транспортный протокол, что и IP, а ARP вообще к сетевому уровню относится, на него же влияет!
_________________
Нет ничего невозможного... |
|
| Вернуться к началу |
|
|
Valera
Гость
|
| Добавлено: Ср Апр 02 2003 07:30 Заголовок сообщения: Ну, длин!!! Книжки почитай. IPX - это не итренет протокол, это новеловская выдумка (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
butcher
Зарегистрирован: 18.04.2003
Сообщения: 467
Откуда: Киров
|
| Добавлено: Ср Апр 02 2003 08:41 Заголовок сообщения: Читаем книжки.. (+) |
|
|
IPX - Internet Packet Exchange или ещё встречатся Internetwork Packet Exchange
IP - Internet Protocol
Выводы: IPX - Internet протокол, если ставить в соответствие стек IPX/SPX модели OSI, то протокол IPX занимает два уровня - сетевой и транспортный, SPX - соответствует TCP и находится на транспортном уровне.
Т.о. IPX - получается немного шире по возможностям, чем IP.
Внимание вопрос: можно ли разрешить IPX/SPX в правилах IPFW (аналогично разрешению ARP)? Если да, то какой код у этого протокола?
_________________
Нет ничего невозможного... |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://prof
Гость
|
| Добавлено: Ср Апр 02 2003 13:12 Заголовок сообщения: Не те книжки читаешь... |
|
|
Протокол IP имеет один сплошной четырехбайтный адрес, который разделяется на номер сетИ и номер машины в этой сетИ в зависимости от места применения (т.е. записи роутинга м.б. с произвольными масками).
Протокол IP имеет четырехбайтный номер сетИ и MAC-адрес как номер машины в этой сетИ.
Этого различия недостаточно?
В IP различаются TCP, UDP, ICMP и еще сотня протоколов, причем у TCP и UDP есть по 65536 портов.
В IPX есть SPX, но он оформлен как один из портов IPX (это я так читал, но не уверен в достоверности книги).
PS: Ты писал:
> Чтобы разрешить протокол ARP в IPFW нужно добавить правило
> add allow udp from 0.0.0.0 2054 to 0.0.0.0
Так вот, ARP никак не регулируется через UDP. Более того: в Ethernet есть поле "тип передаваемого протокола", и в нем ARP - такой же протокол, как IP, IPX и NetBEUI. И я не верю, что ARP можно запретить через ipfw. |
|
| Вернуться к началу |
|
|
butcher
Зарегистрирован: 18.04.2003
Сообщения: 467
Откуда: Киров
|
| Добавлено: Чт Апр 03 2003 04:11 Заголовок сообщения: Re: Не те книжки читаешь... |
|
|
Книжки я читаю те, и кстати, в стеке IPX/SPX ещё много протоколов включая и протоколы маршрутизации, я то думал что АРП действительно фильтруется, а на самом деле нет
проверка показала, что все запросы и ответы замечательно проходят. А это я прочитал в статье, не давно тут ссылка была по настройке фильтрующего моста.
Поэтому и спрашивал, в чём различие, если АРП может фильтровать а IPX не может.
В мануале по IPFW написано:
mac-type mac-type: Matches packets whose Ethernet Type field corresponds to one of
those specified as argument. mac-type is
specified in the same way as port numbers
(i.e. one or more comma-separated single
values or ranges). You can use symbolic
names for known values such as vlan, ipv4,
ipv6. Values can be enter as decimal or
hexadecimal (if prefixed by 0x), and they
are always printed as hexadecimal (unless
the -N option is used, in which case symbolic
resolution will be attempted).
Наверно авто статьи имел ввиду это.. а нескольким страницами ниже, в мануале написано:
The following options are not supported in ipfw1: dst-ip, dst-port, layer2, mac, mac-type, src-ip, src-port.
Может конечно я опять не так чё понял, но всё таки ipfw может фильтровать и ARP и IPX и чё угодно, только ipfw второй версии. так?
_________________
Нет ничего невозможного... |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://prof
Гость
|
| Добавлено: Чт Апр 03 2003 13:22 Заголовок сообщения: Есть ряд соображений по этому поводу |
|
|
1) Работать с MAC-адресами можно только при непосредственном контакте, т.е. не через роутер. При желании можно жестко привязать MAC к IP и далее фильровать только IP.
2) Постепенно все системы переводятся на IP, а IPX и NetBEUI используются в унаследованных системах, но для них ничего нового не разрабатывается. Соотвественно, все сылы разработчиков пакетных фильтров (а также Samba) будут направлены на IP, а на остальные протоколы просто жаль тратить время.
3) Протокол IP наиболее документирован, а IPX и NetBEUI - закрытые фирменные протоколы. Когда их разработчики отказались от политики закрытости, было уже поздно - все уже переориентировались на IP.
Так что, IMHO, фильтрации IPX на большинстве систем нет, не будет и не надо.  |
|
| Вернуться к началу |
|
|
butcher
Зарегистрирован: 18.04.2003
Сообщения: 467
Откуда: Киров
|
| Добавлено: Чт Апр 03 2003 14:33 Заголовок сообщения: О локализации траффика |
|
|
Нет, ну не хорошо же когда какие-то левые пакеты занимают полосу пропускания, суть не в том что нужно фильтровать IPX или NetBEUI, а вообще все Ethernet кадры. Если они мне не нужны, зачем проходят? в сад их! 
_________________
Нет ничего невозможного... |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://prof
Гость
|
| Добавлено: Чт Апр 03 2003 15:24 Заголовок сообщения: Ну, через IP-роутер они и не пройдут... |
|
|
Прежде чем локализовать трафик, надо решить вопрос о сегментации сетИ. Если ты сегментируешь сеть IP-роутером или сервером, то ни ARP, ни IPX, ни NetBEUI сквозь него не пройдут.
Свич и IPX-роутер пропускают кадр или IPX-пакет только в тот сегмент, куда этот кадр предназначен. (Понятно, что броадкасты идут по всей сетИ - на этом основаны многие системы резолвинга имен и т.п.; впрочем, броадкасты обычно занимают не очень много.)
Я вообще не понимаю, как у тебя устроена сеть, что ты маешься с такими проблемами... |
|
| Вернуться к началу |
|
|
butcher
Зарегистрирован: 18.04.2003
Сообщения: 467
Откуда: Киров
|
| Добавлено: Чт Апр 03 2003 19:50 Заголовок сообщения: Ответ на: "Ну, через IP-роутер они и не п..- Dmitry.Karpo..- 03-04-2003 16:24" Я не маюсь, я учус |
|
|
-
_________________
Нет ничего невозможного... |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
