Bridge + Firewall

[Simon Brandejs]

zahazovanim paketu, navic podle IP adresy, o ktere by switch/bridge
> pracujici na 2. vrstve normalne nemel vubec vedet.
> 
> Ze je nekde firewall se po chvili testovani dovtipim i v pripade, ze mi
> nepozila zadne ICMP a dropuje. Tenhle filtrujici switch je ale skutecne
> strasidlo (uznavam, ze pasti se s tim da vymyslet plno).

jo jo a moc hezkejch 

navic ... treba v arlanech (WiFi bridge - a taku Access point) ... 
teda v aironetech ... nebo jak tomu cisco riika ... 
se daji normalne delat ip filtry ... tak procz ne ?

v iosech na 3550 nebo vlastne na vjetsine layer 3 switch-u  
normalne fungujou ip_access listy .. i kdyz tam je to asi o 
neczem trosku jinem
...

proste se da rict ze tucnak umiii ledaces ... a je to dobre ... 
a kdo nechce nemusii to pouziivat ... 

> Zrovna nedavno jsme s Pavlem Kankovskym meli tu cest s naprosto silenym
> SMC switchem. Pakety posilal sice do spravnych portu, ale do naprosto
> nahodnych vlanu. Nez se na to prislo, tak jsme tam stravili znacnou cast
> odpoledne. Mozna to bylo tim, ze switch byl utopeny ...

asi ne ...  nezmam SMC ... ale to je preci hodne zalezitost SW
jak to votaguje ... to s tim utopenim asi nema co spolecnyyyho ... 
pokud to tagovani nedela HW  ... a to asi ne ... ...ale neviim ... 

ale znam neco podobnyyho na jedny c3550 ... spatnej IOS ... teda
 ne spatnej ... ale taky prehazoval tagy v dot1q ... na palicu -))

ale co ethereal uzsh to umiii ... a tak dukaz k reklamaci snadno 
a rychle .... -> jejda kolik snifferu umi vlany v 1q ... v isl asi 
skoro nikdo ... napada me jenom ethereal ?