Filtrování bez podsítě

Pondělí Říjen 6 17:45:30 CEST 2003

On Mon, Oct 06, 2003 at 03:41:40PM +0200, Michal wrote:
> >> A jak mate propojenu tu vasi sit s vasi centralou ? Konfigurace siti ?
> >> Moje kristalova koule dnes nejak stavkuje :-)
> 
> O to teď nejde. Představte si síť připojenou nějak k internetu, o
> které nic nevíte a nemáte možnost něco měnit na routeru, který je
> připojený kdesi v internetu.
> Mým úkolem je vymyslet nějak filtrování paketů v téhle lokální síti.
> Máte povoleno přidat do sítě jakékoliv zařízení. Existuje snad nějaký
> packetshaker, který to umožňuje, ale je šíleně drahý.
> Takže se mi jedná o to, jestli existuje na linuxu řešení, že Linux
> poslouchá síť a filtruje její obsah, aniž by se vytvářela další
> podsíť?

Muzete nastavit proxyarp na Linuxu a pouzit iptables.

Puvodne:

Internet ----- | Router |----- vnitrni sit

Router ma nejakou vnejsi IP a vnitrni treba 10.0.0.1/255.255.0.0.
Stanice maji IP adresy 10.0.1.1 az 10.0.1.254 se stejnou maskou.

Nova situace:

Internet ----- | Router |-----| Linux |----> vnitrni sit

Linux bude mit zapnutou proxyarp, jeho vnejsi IP bude
10.0.0.2/255.255.255.252, vnitrni 10.0.0.4/255.255.0.0 (proste se ta sit
odecte). Na Linuxu muzete mit trasparentni proxy, uctovat, firewallovat
atd. Vnitrni stanice by si mely zmenit default gateway na 10.0.0.4,
jinak mozna nebude FORWARD chain zachycovat prochazejici datagramy
(nevyzkouseno, ale se zmenenou GW mi to tady funguje - tedy dokonce to
funguje i kdyz maji GW 10.0.0.2).

Osetreni noveho nastaveni na stanicich muzete udelat pomoci DHCP serveru
na tom Linuxu (a odstinit tak pripadny dalsi DHCP server na Routeru,
ktery nemuzete vyradit z provozu).

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/