Filtrování bez podsítě
Milan Kerslager
milan.kerslager na pslib.cz
Čtvrtek Říjen 9 16:43:35 CEST 2003
On Thu, Oct 09, 2003 at 04:28:40PM +0200, Honza Houstek wrote:
> > > jedna zásadní otázka - můze samotný bridge bezět bez iptables resp.
> > > ebtables?
> >
> > Myslim, ze byste si mel davat pozor, kdyz obvinujete z nepozornosti,
> > protoze se tam jasne pise, ze kvuli iptables je patch potreba.
>
> Jo, mate pravdu. Omlouvam se.
To nic.
Nicmene pokud ma tazatel stale problemy se skrytim puvodniho DHCP
serveru, bude to muset zrejme vyresit pomoci maskarady (protoze si
myslim, ze broadcasty ani odpovedi neprojdou pres FORWARD, protoze
projdou diky ProxyARP).
Internet ---| Router |----- vnitrni_sit
Je-li vnitrni sit 10.0.0.0/255.255.0.0, pak bych ji nezmensil a pro
vnitrni stanice zvolil uplne jinou podsit (tedy neodcital bych, jak jsem
to naznacil puvodne).
Internet ---| Router |---| Linux |---- vnitrni_sit
Linux pak bude mit na vnejsim rozhrani jakoukoliv IP adresu z puvodniho
rozsahu (treba 10.0.0.240) a vnitrni rozhrani bude mit treba
11.0.0.1/255.0.0.0. Na Linuxu se nebude zapinat ProxyARP, ale nastavi se
tam normalni maskarada. Stanice ve vnitrni siti obslouzi DHCP demon
spusteny na vnitrnim rozhrani.
Iptables budou fungovat normalne (stanice budou mit jako GW 11.0.0.1).
Vyuzije se tedy toho, ze maskarad muze byt za sebou libovolne mnozstvi.
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux