1 votes

Joe M avatar

Pont transparent Linux pour le réseau

Demandé el 11 de Avril, 2012
Quand la question a-t-elle été
1465 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de mettre en place un pont semi-transparent. Je dis semi-transparent parce que je veux qu'il agisse comme un robinet transparent pour tout le trafic passant par les deux côtés du pont. Ce que je veux également, c'est que la "zone verte" soit accessible à une interface web pour le pont qui affichera tous les résultats de l'IDS et d'autres outils de surveillance du réseau. Mon exemple serait le suivant :

eth0 <--> bridge(br0) <--> eth1

L'ensemble du réseau serait sur le même sous-ensemble, mais tout ce qui vient de eth0 pour eth1 serait acceptée. La seule fois où quelque chose serait laissé tomber est si le eth0 a tenté d'accéder br0 . Si quelqu'un tente d'accéder à l'interface web sur br0 par le biais de eth1 il réussira. Mon plus gros problème, c'est que si je tente de bloquer quelque chose de eth0 a br0 cela fera tomber le pont tous ensemble.

Demandé el 11 de Avril, 2012 par Joe M

Réponses

Trop de publicités?

1voto

Tom avatar
Tom Points 720 
iptables -A INPUT -i eth0 --dport 80 -j DROP

Tout ce qui est transféré est géré par d'autres chaînes, donc si c'est à travers le pont, cela ne sera pas affecté. Ceux-ci sont gérés par la chaîne FORWARD.

Voici un bon exemple de référence .

Répondu el 11 de Avril, 2012 par Tom (720 Points )

0 votes

Avatar de Joe M

Pour faire suite à cette question, qu'est-ce que j'essaie exactement de construire à ce stade ? Ce n'est pas vraiment un pont transparent, mais selon l'endroit où vous vous trouvez, vous ne devriez pas être en mesure de le voir non plus.

Commenté el 11 de Avril, 2012 par Joe M

0 votes

Avatar de Tom

Qu'est-ce que j'essaie exactement de construire à ce stade ? Je pense que tu dois me dire celle-là. On dirait que vous voulez un pont qui a une adresse IP et qui est accessible. Il s'agit essentiellement d'un commutateur géré avec 2 ports.

Commenté el 11 de Avril, 2012 par Tom

1voto

Avinash avatar
Avinash Points 302

Donc : eth0=lan1 eth1=lan2 br0=briges both + has an IP that should be accessible by eth1 only - n'est-ce pas ?

Pour iptables et birdges, utilisez l'option physdev module dans iptables

iptables -A INPUT -p ALL -d the.ip.on.br0 -m physdev --physdev-in eth0 -j DROP

DROP les connexions à br0 quand elles arrivent par eth0 (ou reverse et ACCEPT là, cela dépend de vos autres règles).

Répondu el 11 de Avril, 2012 par Avinash (302 Points )

0 votes

Avatar de Joe M

Cela n'a pas fonctionné, vous avez une idée de pourquoi quelque chose comme ça : iptables -A INPUT -i eth0 -p TCP --dport 80 -j DROP ne fonctionnerait pas non plus ?

Commenté el 11 de Avril, 2012 par Joe M

0 votes

Avatar de Avinash

"n'a pas fonctionné"... j'aurais besoin de plus d'informations... coller ip addr , brctl show y iptables-save S'il vous plaît, le "-i eth0" @jeff a suggéré ne fonctionnera pas sur un pont. Voir pourquoi TL;DR : le 'join' se produit avant que le paquet n'atteigne le noyau/iptables, donc pour iptables le "--input" serait br0.

Commenté el 11 de Avril, 2012 par Avinash

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X