bridge проблема с форвардингом

0

1

Всем доброго времени!
Есть бридж с vlan:

auto br1
iface br1 inet static
        address 172.XX.XX.XX
        netmask 255.255.255.0
        broadcast 172.XX.XX.XX
        gateway XXX.XX.XX.X
        bridge-ports eth0.7 eth1.7
        dns-nameservers XXX.XX.XX.X
        dns-search domain.local
        bridge_stp off

Используются следующие правила:
ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6  \
        --ip-destination-port 80 -j redirect --redirect-target ACCEPT

и iptables:

[br]
# Generated by iptables-save v1.4.12 on Sat Jan 25 21:54:01 2014
*mangle
:PREROUTING ACCEPT [69298:44844614]
:INPUT ACCEPT [1815:365801]
:FORWARD ACCEPT [68120:44553171]
:OUTPUT ACCEPT [1234:376955]
:POSTROUTING ACCEPT [69353:44930050]
COMMIT
# Completed on Sat Jan 25 21:54:01 2014
# Generated by iptables-save v1.4.12 on Sat Jan 25 21:54:01 2014
*filter
:INPUT ACCEPT [1815:365801]
:FORWARD ACCEPT [68120:44553171]
:OUTPUT ACCEPT [1235:377287]
COMMIT
# Completed on Sat Jan 25 21:54:01 2014
# Generated by iptables-save v1.4.12 on Sat Jan 25 21:54:01 2014
*nat
:PREROUTING ACCEPT [1662:185707]
:INPUT ACCEPT [26:1252]
:OUTPUT ACCEPT [72:4320]
:POSTROUTING ACCEPT [1728:187899]
-A PREROUTING -s 172.16.23.0/24 ! -d 172.16.20.0/16 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Sat Jan 25 21:54:01 2014

Проблема в том, что когда я хочу запретить некоторым хостам из своей подсети доступ к ip в Интернете, а некоторым оставить разрешенным, например так:

iptables -A FORWARD -p tcp -s 172.16.23.241 -d 77.222.42.167 -j ACCEPT
iptables -A FORWARD -p tcp -s 172.16.23.0/24 -d 77.222.42.167 -j DROP

пакеты не дропаются, и вся сеть продолжает иметь доступ к 77.222.42.167.
подскажите, в чем может быть дело? на что обратить внимание?

Ссылка

←	Глупый вопрос про pgpool2

bitmap в файле дохнет при ребуте

→

Почему мост должен фильтровать ? Через него идет весь трафик с 172.16.23.0/24 к 77.222.42.167 ?

Схему бы нарисовали где этот мост, где инет, а где 172.16.23/24

Если что-то непонятно с правилами, то есть "-j TRACE"

Ядро какое? Что в /proc/sys/net/bridge/bridge-nf-* ?

vel ★★★★★
(25.01.14 22:24:54 MSK)

Ответ на: комментарий от vel 25.01.14 22:24:54 MSK

схема:
inet<->router<->bridge<->switch<->PC`s
___________|------172.16.23.0/24-----|
ядро: Linux bridge 3.8.0-35-generic #50~precise1-Ubuntu SMP Wed Dec 4 17:25:51 UTC 201 3 x86_64 x86_64 x86_64 GNU/Linux

/proc/sys/net/bridge/bridge-nf-pass-vlan-input-dev=1
/proc/sys/net/bridge/bridge-nf-filter-vlan-tagged=1
/proc/sys/net/bridge/bridge-nf-call-iptables=1
/proc/sys/net/bridge/bridge-nf-call-arptables=1

borschov ★
(25.01.14 22:47:41 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 25.01.14 22:24:54 MSK

а вот так например:
iptables -A FORWARD ! -s 172.16.23.103 -p tcp -m tcp -d 74.113.233.128 --dport 443 -j DROP
работает.... почему же тогда весь адрес не дропится...

borschov ★
(25.01.14 23:50:08 MSK) автор топика

Ответ на: комментарий от borschov 25.01.14 23:50:08 MSK

ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6  \
        --ip-destination-port 80 -j redirect --redirect-target ACCEPT

Уверен, что -p IPv4 и --ip-protocol 6 не взаимоисключающие условия ? -p IPv4 это 0x8000, IPv6 это 0x86DD.

vel ★★★★★
(26.01.14 01:12:48 MSK)
Последнее исправление: vel 26.01.14 01:13:09 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Глупый вопрос про pgpool2

Admin

bitmap в файле дохнет при ребуте

→

Похожие темы