Re: ARP-Filter unter FreeBSD

From: Bjoern Engels <bj(at)0x20.net>
Date: Thu, 15 Nov 2007 15:35:30 +0100

On Thu, Nov 15, 2007 at 03:24:00PM +0100, Oliver Fromme wrote:
> Bjoern Engels wrote:
> > ich bin derzeit auf der Suche nach Moeglichkeiten, unter FreeBSD 6.2
> > eingehende ARP-Requests zu filtern. Hintergrund ist, dass auf einem Set
> > von Maschinen, die hinter einem Loadbalancer stehen, ein und die selbe
> > IP-Adresse gebunden sein soll, ARP-Anfragen nach dieser Adresse darf
> > aber keine Maschine aus diesem Set beantworten.
>
> Huch, das ist aber ein komischer Setup. Bei den mir
> bekannten Loadbalancern braucht man solche Hacks nicht.

Ein bisschen ungewoehnlich mag es schon sein, macht aber durchaus Sinn.
Ich habe eben Bernd Walters Posting beantwortet, da steht eine kurze
Erklaerung mit Link zu einer etwas laengeren Erklaerung drin. ;-)

> > Unter Linux kenne ich mehrere Moeglichkeiten, z.B. spezielle
> > Kernelpatches, sysctl-Setzungen, oder arptables. Gibt es unter FreeBSD
> > aehnliche Moeglichkeiten dazu? Meine eigenen Recherchen dazu waren
> > bisher leider ergebnislos.
>
> Du kannst mit IPFW problemlos alle ARP-Pakete (oder auch
> nur ganz bestimmte) blockieren. Dazu musst Du den sysctl
> net.link.ether.ipfw=1 setzen, und dann so eine Regel
> verwenden:
>
> deny all from any to any layer2 in mac-type arp
>
> Damit werden alle ARP-Requests weggeschmissen. Wenn Du
> das genauer filtern willst, kannst Du z.B. die folgende
> Regel davorsetzen, um Requests von MAC-Adresse <foo>
> durchzulassen:
>
> pass all from any to any layer2 in mac-type arp mac any <foo>
>
> Wobei <foo> in der ├╝blichen Schreibweise als sechs Hex-
> Bytes mit Doppelpunkten angegeben wird (_nicht_ in der
> IEEE-Schreibweise mit Bindestrichen).
>
> Details findest Du in der ipfw(8)-Manpage.

Ok, vielen Dank fuer Deine Antwort! Ich werde mir mal ueberlegen, wie
ich das konkret loesen werden. Bernd hatte mich darauf gebracht, dass
ARP-Requests fuer Adressen, die an lo0 gebunden sind, auch nicht
beantwortet werden - mal sehn, was besser fuer dieses Setup passt.
Den Abschnitt in der ipfw-Manpage hatte ich auch schon gefunden, aber
ein bisschen anders verstanden.

-- 
Viele Gruesse // Best regards
Bjoern Engels
                                                                    :wq!
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 15 Nov 2007 - 15:36:49 CET

search this site