Virtuálne sieťové rozhrania v iptables

[Róbert Čerňanský]

On Sat, 19 Nov 2016 17:09:21 +0100 (CET)
Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> wrote:

> On Sat, 19 Nov 2016, Petr Pisar wrote:
> 
> > On 2016-11-19, Róbert Čerňanský <openhs na tightmail.com> wrote:  
> > [...]
> > Pak si ale musite zajistit, aby vase dve sitova rozhrani mela ruzne
> > MAC adresy. To se s obycejnymi sitovymi kartami dela spatne.  
> 
> Až tak těžké to není, jen to někdy vede k tomu, že se musí síťovka 
> přepnout do promiskuitního režimu a všechny rámce se musí přebrat 
> softwarově (což většinou není taková katastrofa, pokud mezi síťovkou
> a zbytkem sítě sedí přepínač, který to do značné míry předfiltruje).

V promiskuidnom režime to bolo to isté.  No zrejme samotné prepnutie
nestačí a „rámce se musí přebrat softwarově“ znamená, že potrebujem
niečo v user space.

> dva konce, spíš bych použil typ dummy) a je také možné vyrobit
> virtuální rozhraní typu macvlan:
> 
>    ip link add link eth0 name eth0-a type macvlan mode private

Pre istotu som skúsil ešte aj macvlan, a bolo to to isté.  iptables
videli, že traffic chodí na eth0, aj keď som posielal pakety na IP
adresu rozhrania macvlan.

> > Jinak na to, jestli iptables vidi do bridgovaneho provozu, existuje
> > nejaky sysctl prepinac, na ktery si momentalne nemuzu vzpomenout.
> > Mam ale dojem, ze to byl jen docasny hack a dnes se doporucuje
> > pouzivat ebtables.  
> 
> net.bridge.bridge-nf-call-iptables. Nicméně když to projde skrz
> bridž, tak to skončí na normálním rozhraní, kde by měly normálně
> fungovat iptables.

Pozriem, čo to robí a prípadne vyskúšam.

> > Taky je mozne, ze na cely problem jdete spatne a, co potrebujete, se
> > jmenuje VLAN.  
> 
> Ano, to je docela pravděpodobné.

Pôvodne som myslel, že to bude jednoduché rozlíšiť v iptables cez
'-i eth0' a '-i veth0', ale vidím, že to tak nefunguje.  Pozriem, čo
obnáša nastavenie VLAN a uvidím, či sa mi to hodí.

Vďaka za rady.


-- 
Róbert Čerňanský
E-mail: openhs na tightmail.com
Jabber: hs na jabber.sk