Re: Virtuálne sieťové rozhrania v iptables

[Pavel Kankovsky]

On Sat, 19 Nov 2016, Petr Pisar wrote:

> On 2016-11-19, Róbert Čerňanský <openhs na tightmail.com> wrote:
>> Skúšal som fyzickej sieťovke priradiť ďalšiu IP adresu, ale to
>> nepomohlo, pretože ak ide o gateway traffic, tak cieľová IP adresa,
>> ktorá príde od klienta je adresa do internetu, nie adresa GW.
>>
> [...]
> Pak si ale musite zajistit, aby vase dve sitova rozhrani mela ruzne MAC
> adresy. To se s obycejnymi sitovymi kartami dela spatne.

Až tak těžké to není, jen to někdy vede k tomu, že se musí síťovka 
přepnout do promiskuitního režimu a všechny rámce se musí přebrat 
softwarově (což většinou není taková katastrofa, pokud mezi síťovkou a 
zbytkem sítě sedí přepínač, který to do značné míry předfiltruje).

Kromě již zmíněných kejklů s bridžováním (akorát si nejsem úplně jistý, 
zda je rozumné na to používat rozhraní typu veth, které mají dva konce, 
spíš bych použil typ dummy) a je také možné vyrobit virtuální rozhraní 
typu macvlan:

   ip link add link eth0 name eth0-a type macvlan mode private

(teď nevím, zda je nutné uvést explicitně nějakou MAC adresu, nebo si jí 
to vymyslí samo; také může být někdy vhodnější použít jiný mód).

> Jinak na to, jestli iptables vidi do bridgovaneho provozu, existuje
> nejaky sysctl prepinac, na ktery si momentalne nemuzu vzpomenout. Mam
> ale dojem, ze to byl jen docasny hack a dnes se doporucuje pouzivat
> ebtables.

net.bridge.bridge-nf-call-iptables. Nicméně když to projde skrz bridž, tak 
to skončí na normálním rozhraní, kde by měly normálně fungovat iptables.

> Taky je mozne, ze na cely problem jdete spatne a, co potrebujete, se
> jmenuje VLAN.

Ano, to je docela pravděpodobné.

-- 
Pavel Kankovsky aka Peak                      "Que sais-je?"