Virtuálne sieťové rozhrania v iptables
Róbert Čerňanský
openhs na tightmail.com
Sobota Listopad 19 20:35:34 CET 2016
On Sat, 19 Nov 2016 17:09:21 +0100 (CET)
Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> wrote:
> On Sat, 19 Nov 2016, Petr Pisar wrote:
>
> > On 2016-11-19, Róbert Čerňanský <openhs na tightmail.com> wrote:
> > [...]
> > Pak si ale musite zajistit, aby vase dve sitova rozhrani mela ruzne
> > MAC adresy. To se s obycejnymi sitovymi kartami dela spatne.
>
> Až tak těžké to není, jen to někdy vede k tomu, že se musí síťovka
> přepnout do promiskuitního režimu a všechny rámce se musí přebrat
> softwarově (což většinou není taková katastrofa, pokud mezi síťovkou
> a zbytkem sítě sedí přepínač, který to do značné míry předfiltruje).
V promiskuidnom režime to bolo to isté. No zrejme samotné prepnutie
nestačí a „rámce se musí přebrat softwarově“ znamená, že potrebujem
niečo v user space.
> dva konce, spíš bych použil typ dummy) a je také možné vyrobit
> virtuální rozhraní typu macvlan:
>
> ip link add link eth0 name eth0-a type macvlan mode private
Pre istotu som skúsil ešte aj macvlan, a bolo to to isté. iptables
videli, že traffic chodí na eth0, aj keď som posielal pakety na IP
adresu rozhrania macvlan.
> > Jinak na to, jestli iptables vidi do bridgovaneho provozu, existuje
> > nejaky sysctl prepinac, na ktery si momentalne nemuzu vzpomenout.
> > Mam ale dojem, ze to byl jen docasny hack a dnes se doporucuje
> > pouzivat ebtables.
>
> net.bridge.bridge-nf-call-iptables. Nicméně když to projde skrz
> bridž, tak to skončí na normálním rozhraní, kde by měly normálně
> fungovat iptables.
Pozriem, čo to robí a prípadne vyskúšam.
> > Taky je mozne, ze na cely problem jdete spatne a, co potrebujete, se
> > jmenuje VLAN.
>
> Ano, to je docela pravděpodobné.
Pôvodne som myslel, že to bude jednoduché rozlíšiť v iptables cez
'-i eth0' a '-i veth0', ale vidím, že to tak nefunguje. Pozriem, čo
obnáša nastavenie VLAN a uvidím, či sa mi to hodí.
Vďaka za rady.
--
Róbert Čerňanský
E-mail: openhs na tightmail.com
Jabber: hs na jabber.sk
Další informace o konferenci Linux