Virtuálne sieťové rozhrania v iptables

[Petr Pisar]

On 2016-11-19, Róbert Čerňanský <openhs na tightmail.com> wrote:
> Skúšal som fyzickej sieťovke priradiť ďalšiu IP adresu, ale to
> nepomohlo, pretože ak ide o gateway traffic, tak cieľová IP adresa,
> ktorá príde od klienta je adresa do internetu, nie adresa GW.
>
[...]
> Je nejako možné zachytiť v iptables virtuálne rozhranie?  Alebo ako
> inak by som mohol v iptables rozlíšiť ktorá z gateway IP-čiek bola
> použitá?
>
Odpovedel jste si sam. V packetu je jako cilova adresa adresa ciloveho
stroje, nikoliv brany. Tedy na IP vrstve to nijak nerozlisite. Jedine na
urovni Ethernetu, protoze tam vidite MAC adresu rozhrani brany.

Pak si ale musite zajistit, aby vase dve sitova rozhrani mela ruzne MAC
adresy. To se s obycejnymi sitovymi kartami dela spatne. Muzete si
udelat dva veth pary a jedny konce hodit do bridge spolu se skutecnou
sitovkou a IP adresy nastavit na druhe konce veth paru.

Jinak na to, jestli iptables vidi do bridgovaneho provozu, existuje
nejaky sysctl prepinac, na ktery si momentalne nemuzu vzpomenout. Mam
ale dojem, ze to byl jen docasny hack a dnes se doporucuje pouzivat
ebtables.

Taky je mozne, ze na cely problem jdete spatne a, co potrebujete, se
jmenuje VLAN.

-- Petr