iptables a stejny segment site
Simon Brandejs
simon na cesa.cz
Čtvrtek Březen 30 12:05:22 CEST 2006
On Thu, 30 Mar 2006 11:40:26 +0200 (CEST)
Karel Dudasek <karel.dudasek na vghur.army.cz> wrote:
> On Thu, 30 Mar 2006, Oqak wrote:
> > Jde nejakym zpusobem na stejnem segmentu site pouzivat iptables, k mereni
> > dat a k firewallovani? Nebo musim prekopat sit, aby ro routovalo (nebylo na
> > stejnem segmentu site)?
>
> K mereni dat by vam mohl stacit lepsi switch, ktery umi pocitat data
> a ukazovat je (SNMP, telnet nebo WWW).
> K firewallu potrebujete donutit data, aby sla vzdycky pres Vas prvek.
> Pokud byste mel pocitace sice z jinych subnetu, ale na stejnem segmentu
> site, pak po prvnim paketu proslem routerem, posila router zpet ICMP paket
> o tom, ze priste staci poslat paket jinam (redirect).
redirect posila ten kdo routuje ... a delat to nemusi
tusim ze je to
/proc/sys/net/ipv4/conf/all/send_redirects
a jde to misto na all i na jednotlivy interface ..
[bez zaruky]
nicmene redirect posila pokud zna lepsi cestu na stejnem subnetu ...
to znamena ze pokud mate na ethernetu nekolik subnetu
tak z jednoho subnetu do druheho redirect nefunguje/neposila se ...
[/bez zaruky]
to bez zaruky znamena ze jsem si dost jist ale ruku do ohne nedam ... -)
k pocitani dat ...
l2-switch vam spocita pakety ... jejich delky ... chyby atd ...
a pokud ma slusny OS ak dokaze matrix podle MAC address
ale do hlavicek IP kdo kam co se vubec nediva ....
a k tomu FW ... na vyssi tride jsou psat access listy podle MAC addressy
ale to vam asi nepomuze
napada me konfigurace se switchem ktery ma kazdy user port v jine vlan a uplink k routeru
na vsech netagovane ... ale to je docela obskurita ... a tak ...
muzete switch rozhazet do vlan ... a linux udelat intervlan-routerem ...a potom pocitat a filtrovat
nebo mozna i bridgeovat (hrozny slovo) ... a pocitat a filtrovat
... nebo rozsekat sit na malinkaty subnety a mezi nima routovat
... ale s linuxem to nebude zadne wirespeed ...
i kdyz i to snad jdou i slusne rychlosti (jen jsem czetl) pokud je vhodne zelezo ...
rozmyslete k cemu to ma slouzit ... a kolik penez to ma stat ...
jak to ma byt zicher-und-idioten/bombeen-fest ... a tak -)))
toz tak
Simon
Další informace o konferenci Linux