Filtrování bez podsítě

Čtvrtek Říjen 9 12:30:46 CEST 2003

On Thu, 9 Oct 2003, Milan Kerslager wrote:

> Myslim, ze byste to mel vyresit bez zaplatovani jadra, tj. pomoci
> ProxyARP. Pak nebudete mit problemy s neotestovanym kodem v jadre.

Kdybyste se obtezoval precist si ten link, tak byste zjistil, ze ten
clovek jadro NEpatchoval.

V tom navodu je to udelane tak, ze pakety se sice bridgujou, ale na obou
interfaces jsou nastavenene IP adresy a masky tak, aby se mezi nimi
soucasne routovalo (protoze routovane pakety netfilter vidi). Neni to
uplne dokonaly bridge (IP adresy jsou pekne rozpulene, jedna pulka je na
jednom interfacu, druha na druhem a nelze je prehazovat).

Druha moznost je patch (ebtables+bridge-nf), ktery JE celkem
intenzivne otestovany (ebtables je filtrovani ve 2. vrstve (MAC adresy),
ktere se na bridgi muze hodit).

Treti moznost je jiz zminovany ProxyARP.

-- Honza Houstek