Virtuálne sieťové rozhrania v iptables
Jan Marek
jmarek na jcu.cz
Pondělí Listopad 21 08:47:42 CET 2016
Dobrý den,
(po přečtení předchozí komunikace)
měl jsem udělané to, že (na jedné switchované síti) jsem měl GW,
linux a klienty takto:
GW: 192.168.0.1/24
Linux: 192.168.0.2/24, 192.168.1.1/24
všichni klienti měli nastaveno 192.168.1.x/24, na routeru byla
nastavena routa, že síť 192.168.1.0/24 zpracovává adresa
192.168.0.2.
To bylo moje řešení.
Pokud byste potřeboval rozlišovat, které klienty pustíte přímo na
bránu a které chcete filtrovat přes Linux, stačí jedněm nastavit
adresu z rozsahu 192.168.0.x/24 a druhým 192.168.1.x/24.
Uznávám ale, že to není kdovíjak hitech a kdokoliv, kdo umí
použít sniffer, je schopen si pohrát s nastavením sítě. To už by
se pak muselo ještě nastavit na routeru, které MAC adresy můžou
přímo (tj. můžou mít adresu z ranku 192.168.0.x/24) a které ne.
Pokud bych chtěl přísně opravdu všechny filtrovat přes ten linux
(kvůli hloupému routeru např.), tak by to šlo udělat tak, že by
se do serveru dala extra karta, s routerem se spojila přímo
kabelem a odpadlo by switchování dvou sítí na jednom bridgi.
Snad to bude srozumitelné.
Zdraví
Jan Marek
On Sat, Nov 19, 2016 at 02:52:20PM +0100, Róbert Čerňanský wrote:
> Zdravím,
>
> potrebujem z jednej fyzickej sieťovky (eth0) spraviť ako keby dve a
> tieto potom rozlišovať v iptables. Je to vnútorná sieťovka na routeri.
> Ten sa používa sa ako brána do internetu a ja práve potrebujem
> rozlišovať pakety smerujúce do internetu.
>
> Čiže klient by mohol mať nastavený ako default gw 192.168.1.1 alebo
> 192.168.1.2. Obidve adresy by išli fyzicky na eth0 a v iptables by som
> chcel rozlíšiť na ktorú z tých dvoch IP to od klienta prišlo.
>
> Skúšal som fyzickej sieťovke priradiť ďalšiu IP adresu, ale to
> nepomohlo, pretože ak ide o gateway traffic, tak cieľová IP adresa,
> ktorá príde od klienta je adresa do internetu, nie adresa GW.
>
> Potom som skúsil vytvoriť virtuálnu sieťovku - label:
>
> ip addr add ... label eth0:1
>
> No iptables mi neboli schopné zachytiť interface eth0:1; videli len, že
> všetko prichádza na eth0. Čiže pravidlo, kde bolo -i eth0:1 nikdy
> nematchlo.
>
> Podobne mi to nefungovalo ani s virtuálnymi rozhraniami typu veth.
> Vytvoril som pár:
>
> ip link add veth0 type veth peer name veth1
>
> veth0 som dal do bridge s eth0, ktorému som dal IP 192.168.1.1. veth1
> som nakonfiguroval na 192.168.1.2. iptables opäť videli, ako keby
> všetko prichádzalo na br0, napriek tomu, že som posielal pakety priamo
> na 192.168.1.2. Skúšal som to v PREROUTING-u tabuľky nat. Teda napr.
> pravidlo:
>
> iptables -A -t nat -A PREROUTING -m limit --limit 500/h \
> --limit-burst 60 -j LOG --log-prefix iptables_prerouting_log:
>
> mi v logu ukázalo:
>
> ... iptables_prerouting_log:IN=br0 OUT= MAC=... SRC=192.168.1.10 DST=192.168.1.2
>
> Teda aj keď cieľová adresa bola 1.2, tak interface bol br0, nie veth0.
>
> Je nejako možné zachytiť v iptables virtuálne rozhranie? Alebo ako
> inak by som mohol v iptables rozlíšiť ktorá z gateway IP-čiek bola
> použitá?
>
> Róbert
>
>
> --
> Róbert Čerňanský
> E-mail: openhs na tightmail.com
> Jabber: hs na jabber.sk
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
--
Ing. Jan Marek | Nez mi poslete prilohu .doc, .xls
University of South Bohemia | nebo .ppt, prectete si, prosim,
Academic Computer Centre | WWW stranku uvedenou na poslednim
Phone: +420-38-9032080 | radku signatury...
http://www.gnu.org/philosophy/no-word-attachments.cs.html
Další informace o konferenci Linux