Shaping podle MAC adresy

No vzhledem k tomu, že HTB a CBQ používají (stejně jako ostatní classful qdiscs) tentýž koncept filtrů, mělo by to jít. Btw. jak to matchuješ -- filtrem u32 se záporným offsetem? Jinak univerzální možnost je nastavovat fwmark v iptables a matchovat filtrem fw.

Kolik toho ushapuješ na CBQ, nevím -- používal jsem vždy HTB; btw. z jakého důvodu chceš přejít?

Kdyby dva z nás byli dvěma z nich, všichni z nás by mohli být všemi z nich.

29.1.2005 17:52 Flegmosmoke | skóre: 7
Rozbalit Rozbalit vše Re: Shaping podle MAC adresy

Nejsem v tom zase tolik zběhlej a CBQ mi přijde jednodušší.Možná se mi to jen ale zdá.Líbí se mi tam ty přehledný konfiguráky.HTB používám nějakou tu jednoúčelovou distribuci jak loni vyšla FFW.Akorát pro objem 80 uživatelů to zrovna není.Chtěl už bych od toho trochu víc.Mám právě strach jestli to CBQ zvládne.Na to zabezpečení IP a MAC jsem našel toto:

iptables -A FORWARD -m mac --mac-source YY:YY:YY:YY:YY:YY -s 192.168.0.2 -j ACCEPT

Což tomu rozumim.Ale nevim jak zahodit ty co nevyhovujou s IP a MAC

29.1.2005 18:20 Martin Čížek | skóre: 20 | Praha
Rozbalit Rozbalit vše Re: Shaping podle MAC adresy

No přehledné konfiguráky jsou i pro HTB (co třeba zkusit Prometheus QoS).

Ad IP a MAC -- tak se zdá, že matchuješ normálně podle I.P. adresy a potřebuješ jen zabezpečit mapování MAC -- IP. To jsou ale dva různé problémy, takže první polovina původního dotazu je irelevantní :-)

. Elegantní řešení je udělat pevné ARP záznamy. Jinak k iptables stačí přidat na konec pravidlo, které zakáže všechno. To ale není nějak specifická věc tohoto problému -- chce si to o iptables něco přečíst.

Kdyby dva z nás byli dvěma z nich, všichni z nás by mohli být všemi z nich.

30.1.2005 16:51 jirka
Rozbalit Rozbalit vše Re: Shaping podle MAC adresy

iptables -N MUJ_VYBER
iptables -A MUJ_VYBER -m mac --mac-source $MAC_1 -s $IP_1 -j RETURN
iptables -A MUJ_VYBER -m mac --mac-source $MAC_2 -s $IP_2 -j RETURN
iptables -A MUJ_VYBER -m mac --mac-source $MAC_3 -s $IP_3 -j RETURN
iptables -A MUJ_VYBER -j DROP

iptables -A FORWARD -i eth1 -j MUJ_VYBER

30.1.2005 22:15 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: Shaping podle MAC adresy

No nepletu-li se, tak tohle tu už bylo. A opět se filtruje každý paket a opět je to zbytečné. Testuj jen nové spojení. Ty navázané snad už není potřeba testovat ne? Myslím, že to tu říkal "jm" abych si to nepřivlastňoval.

arp -s x.x.x.x 00:00:00:00:00:00
iptables -A FORWARD -i ethX -o ethY -s x.x.x.x -m state --state NEW -j ACCEPT

Pokud jsem to zmršil, tak mě někdo opravte.

30.1.2005 22:17 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: Shaping podle MAC adresy

Jo zapomněl jsem, k tomu nastavit normálně shaping na IP pomocí filtrů přes tc a mělo by to chodit. Ovšem kdo má v hlavě a není línej, obejde i tu kontrolu MAC.

30.1.2005 22:23 lubo
Rozbalit Rozbalit vše Re: Shaping podle MAC adresy

podla mna je zbytocne kontrolovat MAC aj IP adresu. V nasej sieti to tiez tak funguje a ja stale deno denne si menim IP :) to len vtedy ked mi konci kvota. :) V biose si menim MAC adresu a IP nieje problem. Takze nato este nikto pravidla nevymyslel :)))))

30.1.2005 22:31 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: Shaping podle MAC adresy

no nevím jestli přes bios jde změnit mac, tak novou desku zas nemám, ale tohle jde jen za předpokladu, že víš něčí IP a něčí MAC, což není žádný problém zjistit, ovšem pak to dělá na síti binec a to se zas zjistit dá :-)

. Suma sumárum se na to stejně přijde :-)

30.1.2005 22:48 lubo
Rozbalit Rozbalit vše Re: Shaping podle MAC adresy

Mam MB epox 8hda5+ a tam v biose je ta moznost a nato sa nikdy nepride ked spravca sieti nevie pomaly nic o sieti :)))))))))

30.1.2005 23:05 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: Shaping podle MAC adresy

no tak to je už horší správce jak já :-)

Dotaz: Shaping podle MAC adresy

Odpovědi