Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Фильтрация пакетов на сетевом мосту  (Прочитано 717 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн slts

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Фильтрация пакетов на сетевом мосту
« : 22 Сентября 2011, 12:03:42 »
Добрый день.
Помогите нивичку в решении проблеммы...
Как на мосту из eth0 и eth1 организовать фильтрацию (ну, например, закрыть 67,68 порты). Правила iptables работают только на хост, а мост, тем временем, продолжает пропускать все соединения.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Фильтрация пакетов на сетевом мосту
« Ответ #1 : 22 Сентября 2011, 12:38:17 »
По eth не пробовали фильтровать?

Оффлайн slts

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Фильтрация пакетов на сетевом мосту
« Ответ #2 : 22 Сентября 2011, 12:46:34 »
даже при политике по умолчанию: "iptables -P INPUT DROP" мост пропускает пакеты через себя, но на всякий пробовал "iptables -I INPUT -i eth1 -p udp --dport 67:68 -j DROP".

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Фильтрация пакетов на сетевом мосту
« Ответ #3 : 22 Сентября 2011, 13:38:19 »
даже при политике по умолчанию: "iptables -P INPUT DROP" мост пропускает пакеты через себя, но на всякий пробовал "iptables -I INPUT -i eth1 -p udp --dport 67:68 -j DROP".
пропускает куда и откуда?  топология сети ,ifconfig -a, iptables-save -C .... ?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Фильтрация пакетов на сетевом мосту
« Ответ #4 : 22 Сентября 2011, 13:41:19 »
А в FORWARD не пробовали?
Но боюсь, что мост не лопает структуру пакетов и Ваши попытки увенчаются неудачей.
Точнее,  на счёт того, что структура не распечатывается я уверен.

Пользователь решил продолжить мысль 22 Сентября 2011, 13:45:34:
"Небольшая" статейка про линуксовые мосты
« Последнее редактирование: 22 Сентября 2011, 13:45:34 от fisher74 »

Оффлайн slts

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Фильтрация пакетов на сетевом мосту
« Ответ #5 : 22 Сентября 2011, 13:58:22 »
Есть сегмент сети 172.21.10.0/255.255.0.0 c DHCP сервером и ноут. Между ними машина с Ubuntu 10.10 сервером на борту. поднят мост на eth0 и eth1... смотрят в сеть и на ноут соответственно. Задача закрыть порты на мосту на примере DHCP.

Полупрозрачный мост:
auto abr
iface abr inet static
bridge_ports eth0 eth1
address 172.21.10.11
netmask 255.255.0.0
gateway 172.21.10.9

ifconfig -a
(Нажмите, чтобы показать/скрыть)
Правила iptables по умолчанию (запрещал все для проверки)


Неоднократно натыкался на "Мощность пакетной фильтрации на мостах", вот и решил попробовать, но толком реализацию не нашел. Есть урывками про это на BSD.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Фильтрация пакетов на сетевом мосту
« Ответ #6 : 22 Сентября 2011, 14:16:03 »
(Нажмите, чтобы показать/скрыть)
ebtables — средство для фильтрации и трансляции адресов пакетов на сетевых интерфейсах и программных мостах Linux.

Оффлайн slts

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Фильтрация пакетов на сетевом мосту
« Ответ #7 : 22 Сентября 2011, 14:29:31 »
Сеть с маской 16 у меня, все правильно.
ebtables умеет разве работать с портами?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Фильтрация пакетов на сетевом мосту
« Ответ #8 : 22 Сентября 2011, 14:33:05 »
Это выдержка из wiki.
Мне, сейчас, не когда (да и интереса пока нет к этому вопросу), но Вы сами можете проштудировать доку.
Ну и, покуда, у Вас есть полигон, есть прекрасная возможность поиграться и доложить нам о Ваших успехах.

Оффлайн slts

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Фильтрация пакетов на сетевом мосту
« Ответ #9 : 22 Сентября 2011, 16:41:43 »
А в FORWARD не пробовали?
Все оказалось действительно просто: "iptables -A FORWARD -p udp -m udp --dport 68 -j DROP". Я чуть голову не сломал с ebtables -t broute, думая, что все через мост по 2 уровню идет, а оказалось все намного проще. Спасибо Всем за содействие, вроде, работает. Буду ковырять и разбираться дальше, может еще на что наткнусь.

 

Страница сгенерирована за 0.065 секунд. Запросов: 25.