LINUX.ORG.RU
ФорумAdmin

Объясните по ebtables

 ,


0

1

В ebtables есть 3 цепочки: input, output, forward; необходимо устроить фильтрацию по mac адресам.
Есть 2 интерфейса eth1,eth2 объединенные в мост br1 и интерфейс eth0, который частью моста не являются.
Правильно я понимаю что:

  • eth1 -> eth2 - forward
  • eth1 -> eth0 - input(пакет уходит с интерфейса на мост)
  • eth1 <- eth0 - output(пакет уходит с моста на интерфейс)

?

P.S. Да, в качестве подопытного у меня Mikrotik с RouterOS 6.27, но не думаю что будут серьезные отличия от других дистрибутивов. предположения строил изходя из схемы.

Deleted

Последнее исправление: log4tmp (всего исправлений: 3)

eth1,eth2 объединенные в мост br1
eth1 -> eth2 - forward

вроде бы это зависит от того как скомпилировано ядро.

там есть конфиг который заставлять проходить forward-чепочку для мостов.. но навярняка он отключен.

если он отключен (этот конфиг), то для контроля «eth1 -> eth2» тебе нужен либо ebtables (старый инструмент) либо nftables (новый инструмент)

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 3)
Ответ на: комментарий от Deleted

А по другим двум пунктам?
eth1 -> eth0 - input(пакет уходит с интерфейса на мост)
eth1 <- eth0 - output(пакет уходит с моста на интерфейс)

там как я понимаю не сосем так как ты написал :-)

input цепочка — для входящих в сервер пакетов (а не для транзитных пакетов).

output цепочка — для исходящих из сервера пакетов (а не для транзитных пакетов).

user_id_68054 ★★★★★
()
Ответ на: комментарий от Deleted

обычно делают так — создают новую цепочку и засовывают ссылку на эту цепочку и в forward и в input

в итоге ты будешь добавлять правила в эту (свою новую) цепочку, а правила будут попадать сразу и в forward и в input :-)

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от user_id_68054

Я тоже так думал, но поэкспериментировав обнаружил, что в forward попадает только обмен пакетами eth1<->eth2. При передачи eth1->eth0 пакет выходит из моста в роутер и потом идет на eth0(который не является частью моста).

Deleted
()
Ответ на: комментарий от user_id_68054

это похоже какой-то специальный конфиг для ядра.
(кстате откуда ядро?)

Это Mikrotik на самом деле.

Deleted
()

стоп...

я дурак...

ты же про ebtables спрашиваешь... а мне прочиталось iptables!

(есть конфиг от которого зависит поведение iptables ... но про ebtables я ни чего такого не знаю!)

((короче страницу форума зря исписал теперь... уберите ктонить у меня звёздочку одну :)))

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 4)
Ответ на: комментарий от user_id_68054

ты же про ebtables спрашиваешь... а мне прочиталось iptables!

Бывает, судя по похожим темам его тут упоминают не чаще 2 раз в год...

Deleted
()
Ответ на: комментарий от Deleted

я один разок настраивал ebtables (слегка) — и мне субъективно показалось что работает он так как ты описал..

вот мой конфиг:

# Generated by ebtables-save v1.0 on Wed  1 Apr 06:03:08 MSK 2015
*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
-A FORWARD -p IPv6 --logical-in br-lan --ip6-proto ipv6-icmp --ip6-icmp-type router-advertisement -j DROP
-A FORWARD -p IPv6 --logical-in br-lan --ip6-proto udp --ip6-sport 547 --ip6-dport 546 -j DROP
-A FORWARD -p IPv4 --logical-in br-lan --ip-proto udp --ip-sport 67 --ip-dport 68 -j DROP
-A FORWARD -d 2c:76:8a:1:7d:26 -i wlp0s29u1u4 --logical-in br-lan -j DROP

то есть в этом конфиге 3 правила занимаются баном «хакерских» DHCP ... в forward .. но при этом эти правила НЕ затрагивают настоящий DHCP , так как цепочка input\output — пустая

четвёртое правило — банит доступ к принтеру — для людей подключеных из wlp0s29u1u4 .. (принтер тоже в локальной сети, но он подключен НЕ к wlp0s29u1u4 )

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 4)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin