Bjoern Engels wrote:
> ich bin derzeit auf der Suche nach Moeglichkeiten, unter FreeBSD 6.2
> eingehende ARP-Requests zu filtern. Hintergrund ist, dass auf einem Set
> von Maschinen, die hinter einem Loadbalancer stehen, ein und die selbe
> IP-Adresse gebunden sein soll, ARP-Anfragen nach dieser Adresse darf
> aber keine Maschine aus diesem Set beantworten.
Huch, das ist aber ein komischer Setup. Bei den mir
bekannten Loadbalancern braucht man solche Hacks nicht.
> Unter Linux kenne ich mehrere Moeglichkeiten, z.B. spezielle
> Kernelpatches, sysctl-Setzungen, oder arptables. Gibt es unter FreeBSD
> aehnliche Moeglichkeiten dazu? Meine eigenen Recherchen dazu waren
> bisher leider ergebnislos.
Du kannst mit IPFW problemlos alle ARP-Pakete (oder auch
nur ganz bestimmte) blockieren. Dazu musst Du den sysctl
net.link.ether.ipfw=1 setzen, und dann so eine Regel
verwenden:
deny all from any to any layer2 in mac-type arp
Damit werden alle ARP-Requests weggeschmissen. Wenn Du
das genauer filtern willst, kannst Du z.B. die folgende
Regel davorsetzen, um Requests von MAC-Adresse <foo>
durchzulassen:
pass all from any to any layer2 in mac-type arp mac any <foo>
Wobei <foo> in der üblichen Schreibweise als sechs Hex-
Bytes mit Doppelpunkten angegeben wird (_nicht_ in der
IEEE-Schreibweise mit Bindestrichen).
Details findest Du in der ipfw(8)-Manpage.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M. Handelsregister: Registergericht Muenchen, HRA 74606, Geschäftsfuehrung: secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün- chen, HRB 125758, Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart FreeBSD-Dienstleistungen, -Produkte und mehr: http://www.secnetix.de/bsd "Clear perl code is better than unclear awk code; but NOTHING comes close to unclear perl code" (taken from comp.lang.awk FAQ) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 15 Nov 2007 - 15:25:36 CET