[MASOCH-L] Bridge + Firewall

Marcone Drumond Jacob marconedj at gmail.com
Thu Sep 20 13:31:52 -03 2007 

Neto,

nunca fiz este tipo de configuração, mas tem um tal de 'ebtables' (é um 
iptables para bridge).
Acho que com ele você consegue.

http://ebtables.sourceforge.net/

[]'s
Marcone
----- Original Message ----- 
From: "Jose Augusto dos Santos Neto" <neto-listas at microhosting.com.br>
To: "Mail Aid and Succor, On-line Comfort and Help" 
<masoch-l at eng.registro.br>
Sent: Thursday, September 20, 2007 1:16 PM
Subject: [MASOCH-L] Bridge + Firewall


Caros,

Acabei de configurar um Slackware 11 como bridge, com a seguinte
configuração (todos packotes do slackware):

Kernel 2.4.33.3
Iptables 1.3.5
bridge-utils 1.2

Para isso estou usando uma placa de rede Adptec Dual. Configurei elas
com o seguinte script:

#!/bin/bash
ifconfig=`which ifconfig`
brctl=`which brctl`
ip=`which ip`
br0=br0
br1=br1

ext1="eth2"
int1="eth3"
ext10="eth0"
int10="eth1"

$ifconfig $ext1 0.0.0.0 promisc
$ifconfig $int1 0.0.0.0 promisc
$ifconfig $ext10 0.0.0.0 promisc
$ifconfig $int10 0.0.0.0 promisc

$brctl addbr $br0
$brctl addbr $br1

$brctl addif $br0 $ext10
$brctl addif $br0 $int10
$brctl addif $br1 $ext1
$brctl addif $br1 $int1

$ifconfig $br0 192.168.0.237 netmask 255.255.254.0 promisc

Porém, não estou conseguindo filtrar os pacotes com o Iptables. Já tentei:

$iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -I FORWARD -p TCP -s 192.168.0.61 -d 192.168.0.130 -j DROP

onde o IP 10.61 esta na lan externa e o 10.130 na interna. O ip
atribuido à bridge foi o 0.237;

192.168.0.130(in) ----BRIDGE (0.237) ---- 0.61 (out)

Já tentei tbém, mas não funcionou:
$iptables -I FORWARD -p TCP -i $ext10 -d 192.168.0.130 -j DROP

Se eu fizer o iptables com o comando INPUT eu deixo de pingar o ip
local, mas o forward ainda continua funcionando. Não sei mais o que fazer.

Alguém tem idéia do que pode estar acontecendo? Já fiz o dump do TCP/IP
e me mostra as conexoes passando pela placa normalmente. O tráfego de
ICMP, que eu tentei bloquear, não está sendo feito.

Obrigado,

Neto.








__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list