Re: Virtuálne sieťové rozhrania v iptables
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Sobota Listopad 19 17:09:21 CET 2016
On Sat, 19 Nov 2016, Petr Pisar wrote:
> On 2016-11-19, Róbert Čerňanský <openhs na tightmail.com> wrote:
>> Skúšal som fyzickej sieťovke priradiť ďalšiu IP adresu, ale to
>> nepomohlo, pretože ak ide o gateway traffic, tak cieľová IP adresa,
>> ktorá príde od klienta je adresa do internetu, nie adresa GW.
>>
> [...]
> Pak si ale musite zajistit, aby vase dve sitova rozhrani mela ruzne MAC
> adresy. To se s obycejnymi sitovymi kartami dela spatne.
Až tak těžké to není, jen to někdy vede k tomu, že se musí síťovka
přepnout do promiskuitního režimu a všechny rámce se musí přebrat
softwarově (což většinou není taková katastrofa, pokud mezi síťovkou a
zbytkem sítě sedí přepínač, který to do značné míry předfiltruje).
Kromě již zmíněných kejklů s bridžováním (akorát si nejsem úplně jistý,
zda je rozumné na to používat rozhraní typu veth, které mají dva konce,
spíš bych použil typ dummy) a je také možné vyrobit virtuální rozhraní
typu macvlan:
ip link add link eth0 name eth0-a type macvlan mode private
(teď nevím, zda je nutné uvést explicitně nějakou MAC adresu, nebo si jí
to vymyslí samo; také může být někdy vhodnější použít jiný mód).
> Jinak na to, jestli iptables vidi do bridgovaneho provozu, existuje
> nejaky sysctl prepinac, na ktery si momentalne nemuzu vzpomenout. Mam
> ale dojem, ze to byl jen docasny hack a dnes se doporucuje pouzivat
> ebtables.
net.bridge.bridge-nf-call-iptables. Nicméně když to projde skrz bridž, tak
to skončí na normálním rozhraní, kde by měly normálně fungovat iptables.
> Taky je mozne, ze na cely problem jdete spatne a, co potrebujete, se
> jmenuje VLAN.
Ano, to je docela pravděpodobné.
--
Pavel Kankovsky aka Peak "Que sais-je?"
Další informace o konferenci Linux