LINUX.ORG.RU
ФорумAdmin

[brctl] [iptables] Могут ли они друг другу мешать?

 


0

1

Ситуация: есть на сервере интерфейс eth3, смотрящий в роутер, на роутере есть dhcp. Говорим

brctl addbr br0
brctl addif br0 eth3
dhclient br0
Потом заходим на сервер с клиентской машины по ssh:
ssh root@server -w 0:0 -o tunnel=ethernet
с обеих сторон появляется интерфейс tap0. После этого:
ifconfig tap0 up (на сервере и на клиенте)

Дальше пытаюсь на клиентской машине получить по dhcp адрес:

dhclient tap0

и не получаю. На сервере некая ненулевой сложности конфигурация iptables, вопрос - может ли iptables препятствовать форварду пакетов с tap0 на eth3, или данные внутри моста ходят на канальном уровне и до iptables не доходят?

p. s. А то написал тут скрипт для сброса правил во всех цепочках iptables, и ошибся - вместо ACCEPT указал в качестве policy DROP..

Перемещено JB из talks

с обеих сторон появляется интерфейс tap0. После этого:
Дальше пытаюсь на клиентской машине получить по dhcp адрес:

ты уверен, что tap0 добавляется в мост, а не становится одельным интерфейсом ?

или данные внутри моста ходят на канальном уровне и до iptables не доходят?

man ebtables

http://l7-filter.sourceforge.net/PacketFlow.png

router ★★★★★
()
Ответ на: комментарий от router

ты уверен, что tap0 добавляется в мост, а не становится одельным интерфейсом ?

На клиентской машине это просто интерфейс.

Посмотрев на картинку, я понял не все, но пришел к выводу, что через iptables пакеты из одного порта моста в другой обязательно проходят.

Попробую поправить правила..

pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

Через айпитейблс пакеты НЕ ПРОХОДЯТ. Мост он на то и мост. Если в ebtables указать правило с -j ROUTE (или как там), то пакеты пойдут не в мост, а как обычно.

brcrl show в студию

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Через айпитейблс пакеты НЕ ПРОХОДЯТ. Мост он на то и мост.

Уверен? А что тогда, по твоему делает опция CONFIG_BRIDGE_NETFILTER?

И как это я с помощью нее(когда она включена) и без ebtables фильтрую пакеты, проходящие через мост?

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Ну, это скорее исключение. Можно и бутылки глазом открывать, но зачем?

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

в студию

br0		8000.f46d04760182	no		eth3

И ещё там был tap0 (сейчас я разорвал сессию, и его не стало)

iptables:

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  934 74864 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
    0     0 DROP       tcp  --  eth4   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128 
    0     0 ACCEPT     tcp  --  eth3   *       0.0.0.0/0            0.0.0.0/0           multiport dports 3389,5011 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128 
    0     0 ACCEPT     all  --  tun1   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 139,445 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 67,68 
    0     0 ACCEPT     tcp  --  eth3   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    4   240 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 2 packets, 2980 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      eth3    0.0.0.0/0            0.0.0.0/0           
  283 2285K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 ACCEPT     all  --  *      eth3    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      tun1    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 67,68 
    4   240 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0     

pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

Опа, избыточные правила. Ну да ладно, починим

pianolender ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.