Creazione regole su bridge o ip firewall?

[tigro11]

Buonasera, chiedo info per quanto riguarda la creazione di regole di drop per dei pc tramite mac address.
Volevo sapere che differenza passa se le regole le creo su bridge o su ip firewall?

Grazie a tutti
Valerio

[ppraz]

Ciao,
IP firewall applica regole a livello 3, IP appunto, interviene sul routing di pacchetti. Se un pacchetto viene ruotato dalla routerboard allora tramite questi comandi puoi effettuare manipolazioni di qualunque tipo incluso scartarli
Una regola creata sul bridge agisce invece a livello 2, ethernet. Qui puoi effettuare diverse operazioni senza entrare nel merito del protocollo IP.
Da quanto dici vuoi agire sui mac-address, quindi è proprio qua che devi lavorare

[tigro11]

perfetto, quindi mi pare di capire che se devo creare delle regole tra wan -lan devo usare ip firewall, invede se voglio usare delle regole solo a lato bridge devo usare i filtri di bridge.
Chiedo perchè risulta più facile creare delle regole solo su una maschera che su due pannelli differenti, è solo una questione di avere tutto sottomano.
Dato che voglio bloccare la navigazione ad una ora prestabilita del computer in rete, devo creare la regola su bridge.
Se devo bloccare più computer della rete, è possibile creare una lista di mac address oppure devo inserire una regola per ogni computer?

[ppraz]

Mi sembra di capire che non vuoi impedire comunicazioni fra un pc e un altro all'interno della rete, ma vuoi impedire la navigazione su internet (a certi orari)
Questa operazione è di tipo "layer 3" quindi la devi fare su IP -> Firewall
Per essere sicuro di applicarla all'oggetto giusto devi vincolare il mac-address a un IP e questa operazione la fai da IP -> DHCP Server
Una volta che hai l'IP fissato puoi aggiungere una regola IP -> Firewall assegnata a quello specifico IP.

[tigro11]

perfetto,però mi sorge un dubbio, se io associo un ip ad un mac address, ma se per caso l'utente mi cambia indirizzo ip, come si comporta la regola drop?

[ppraz]

Semplice, non funziona
Per questo l'associazione deve essere statica (Make static da dhcp-server -> lease)
Ma anche la regola applicata al mac-address è vulnerabile, magari con qualche difficoltà in più, ma l'utente può installarsi un software che "forgia" il mac-address

[tigro11]

hai ragione praz, ma per cambiare indirizzo mac ci vuole + malizia.
Grazie delle dritte