Portál AbcLinuxu, 12. května 2025 08:04

Dotaz: Firewall pro ethernet bridge

21.10.2011 18:30 brf
Firewall pro ethernet bridge
Přečteno: 287×
Odpovědět | Admin
Ahoj, mám přidělený rozsah ip, které bych chtěl používat za routerem, tj. musím provést bridging. Za routerem proto, že bych chtěl provádět nějaké filtrování provozu. Jak ale na to? Chci omezit provoz např. počet, velikost icmp paketů, povolené porty apod., tzn. ovlivňovat transportní vrstvu. Podle všeho se pro bridge firewally používá ebtables, ale to asi neumí vyšší síťové vrstvy. Našel jsem i ukázky použití s iptables, ale nevím jestli není pro network bridging blbost používat iptables. Každopádně otázka zní jak to celé zprovoznit resp. kterým směrem se vydat, co nastudovat apod.?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Jendа avatar 21.10.2011 18:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Firewall pro ethernet bridge
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nemůžeš to místo brigingu normálně routovat? Mělo by stačit zapnout forwardování paketů a správně nastavit routovací tabulku (ip r *).
21.10.2011 20:35 brf
Rozbalit Rozbalit vše Re: Firewall pro ethernet bridge
Mělo by stačit zapnout forwardování paketů a správně nastavit routovací tabulku (ip r *).
To asi nepůjde. Podle čeho by příchozí pakety poznaly, že mají jít přes můj router?
POSKYTOVATEL(router ip 78.78.78.1/24) -> rozsah /24 - 1 -?????> JÁ(router op 78.78.78.2/24) -> rozsah /24 - 2
Jendа avatar 21.10.2011 21:53 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Firewall pro ethernet bridge
Poskytovatel ti tvůj rozsah naroutuje na tebe, ne?
22.10.2011 11:41 tomk
Rozbalit Rozbalit vše Re: Firewall pro ethernet bridge

Ale ono by to asi slo. Kostrbate. S pouzitim proxy ARP. Smerovani na "vnitrni" adresy by se provedlo pomoci presnejsi routy (treba /32). Pri zapnutem proxy arp by firewall odpovidal na arp requesty routeru providera a podle presnejsiho smerovani by pak forwardoval packety na vnitrni rozhrani - skrz standardni iptables a bez prekladu.

Myslim si ale, ze firewalling je jedna z oblasti, kde jeste stoji za to zvazit FreeBSD nebo OpenBSD. PF je dobry firewall a v obou systemech by mel jit pouzit na bridgeovane packety.

Tomas
21.10.2011 20:35 NN
Rozbalit Rozbalit vše Re: Firewall pro ethernet bridge
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nestacil by NAT ?

NN
21.10.2011 20:38 brf
Rozbalit Rozbalit vše Re: Firewall pro ethernet bridge
Brrr, tomu se chci alespoň u veřejných ip vyhnout.
23.10.2011 10:05 jurasek
Rozbalit Rozbalit vše Re: Firewall pro ethernet bridge
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zdar
Je to proste. Z interfacu napr. eth0 a eth1 si udelas bridge. Bridgi muzes priradit adresu at se na nej dostanes. Pro filtrovani na bridgi pouzijes normalni iptables, ale smer provozu budes definovat pomoci:
-m physdev --physdev-in --physdev-out.
Vse funguje jak ma. Ebtables jsou pro manipulaci s 2 vrstvou.
jura
23.10.2011 19:59 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Firewall pro ethernet bridge
Dodám, že několik verzí Linuxu zpátky se měnilo výchozí nastavení, jestli bridgované packety půjdou skrze iptables, nebo ne. Nastavuje se to přes sysctl. Název volby si ale teď nevybavuji.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.