Filtrujici bridge
Jan Houstek
houstek-lists na utf.mff.cuni.cz
Úterý Říjen 14 00:38:27 CEST 2003
Nedavno tu sel thread o realizaci bridge, ktery bridgeovane pakety
filtruje pomoci iptables.
Muzu potrvdit, ze s patchem ebtables-brnf-2_vs_2.4.22.diff.gz z ebtables.sf.net
se vse chova dle ocekavani (samotne ebtables jsem v kernelu nezapinal,
nicmene se pomoci nich daji delat opravdu dabelske veci).
Bridge se vytvori napr. takto
brctl addbr br0
brctl addif eth0
brctl addif eth1
Tim se eth0,1 prepnou do PROMISC rezimu. Je treba je jeste nahodit
ip link set eth0 up
ip link set eth1 up
IP adresa se jim uz neprirazuje. Ta se (je-li to treba) nahodi primo
zarizeni br0. MAC adresu pro br0 je mozne zvolit libovolnou (defaultne se
pouzije MAC prvniho interfacu pripojeneho do bridge).
Az potud to je normalni bridge. Aplikovany kernelovy patch nam nyni ale
umozni delat veci jako
iptables -A FORWARD -d nejaka_ip -p tcp --dport nejaky_port -j REJECT
stejne tak funguje shaping, nat a dalsi uchylnosti. Tedy nechci nikoho
navadet, aby neco podobneho vyrabel (preci jen to je pekna prasarna).
Pouze potvrzuji, ze to funguje a kde proxy-ARP nestaci, lze to pouzit.
Ve 2.6.x uz neni potreba nic patchovat, bridge-nf (a ostatne i ebtables)
jsou uz v kernelu.
-- Honza Houstek
Další informace o konferenci Linux