Re: ARP-Filter unter FreeBSD

Bjoern Engels wrote:
> ich bin derzeit auf der Suche nach Moeglichkeiten, unter FreeBSD 6.2
> eingehende ARP-Requests zu filtern. Hintergrund ist, dass auf einem Set
> von Maschinen, die hinter einem Loadbalancer stehen, ein und die selbe
> IP-Adresse gebunden sein soll, ARP-Anfragen nach dieser Adresse darf
> aber keine Maschine aus diesem Set beantworten.

Huch, das ist aber ein komischer Setup. Bei den mir
bekannten Loadbalancern braucht man solche Hacks nicht.

> Unter Linux kenne ich mehrere Moeglichkeiten, z.B. spezielle
> Kernelpatches, sysctl-Setzungen, oder arptables. Gibt es unter FreeBSD
> aehnliche Moeglichkeiten dazu? Meine eigenen Recherchen dazu waren
> bisher leider ergebnislos.

Du kannst mit IPFW problemlos alle ARP-Pakete (oder auch
nur ganz bestimmte) blockieren. Dazu musst Du den sysctl
net.link.ether.ipfw=1 setzen, und dann so eine Regel
verwenden:

deny all from any to any layer2 in mac-type arp

Damit werden alle ARP-Requests weggeschmissen. Wenn Du
das genauer filtern willst, kannst Du z.B. die folgende
Regel davorsetzen, um Requests von MAC-Adresse <foo>
durchzulassen:

pass all from any to any layer2 in mac-type arp mac any <foo>

Wobei <foo> in der üblichen Schreibweise als sechs Hex-
Bytes mit Doppelpunkten angegeben wird (_nicht_ in der
IEEE-Schreibweise mit Bindestrichen).

Details findest Du in der ipfw(8)-Manpage.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"Clear perl code is better than unclear awk code; but NOTHING
comes close to unclear perl code"  (taken from comp.lang.awk FAQ)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message