[MASOCH-L] Bridge + Firewall

[Jose Augusto dos Santos Neto]

Caros,

Resolvi o problema abaixo, mas mudando a distro :( para opensuse e
alterando o script do iptables.

O que pude notar nos modulos do kernel do slack (/lib/modules/2.4.33.3/)
foi a falta dos módulos do ebtables, por isso resolvi mudar para o opensuse.

No novo script do fw usei a as opções de -m physdev. Qualquer dia vou
montar um slack e fazer o teste com essa opção, só para testes.

Uma dica que deixo para todos, que só notei depois de vários testes é
que usando o -m physdev, a posição de onde se coloca o protocolo (-p
proto) influencia como ele trata a regra, ex:

Usando a regra dessa forma, o filtro não funciona, ou seja, o meu IP 61
continua pingando o destino:
iptables -A FORWARD -p tcp -m physdev --physdev-in $lan10_out -s
192.168.10.61 -d 192.168.10.130 -p icmp -j DROP

Já usando a regra dessa forma, o filtro funciona normalmente:
iptables -A FORWARD -m physdev --physdev-in $lan10_out -s 192.168.10.61
-d 192.168.10.130 -p icmp -j DROP
ou
iptables -A FORWARD -m physdev --physdev-in $lan10_out -p icmp -s
192.168.10.61 -d 192.168.10.130 -j DROP

mas o que achei muito estranho que se eu mudar a regra acima para
ACCEPT, rejeitando apenas um host em icmp, ele não é bloqueado.

Como já resolvi meu problema, agora só tenho que testar as regras, o
relato acima fica para outra hora, mas se alguém tiver idéia do pq isso
acontece, seria bom compartilhar..

obrigado à todos,

Neto.



casfre at gmail.com escreveu:
> Olá,
> 
>> funciona no nivel de ip sim. Pelo menos no kernel 2.6 funciona. Precisa
>> de uma config no kernel para isso, mas ela vem habilitada por padrao.
>> Ja experimentou filtrar na interface brx ?
> 
>      Eu uso Slackware, mas estou na versão 12. Desde a versão 11 não
> uso kernel da série 2.4, logo, não sei o que se aplica a essa versão
> do kernel. Talvez a URL http://linux-net.osdl.org/index.php/Bridge
> possa lhe fornecer alguma ajuda extra.
> 
>      Faz muito tempo que configurei bridge+iptables no Slackware, mas,
> é certo que funciona com iptables ( kernel 2.6 - já dito ). Embora não
> se aplique ao kernel 2.4.x, a manpage do iptables fala sobre a opção
> PHYSDEV, que sempre usei nas bridges com iptables que configurei.
> Talvez lhe ajude em algo.
> 
>      Gostaria de sugerir ( chutar na verdade ), que você limpe todas
> as regras do iptables e, depois, experimente com: iptables -P FORWARD
> DROP e verifique se ainda há tráfego passando entre as interfaces.
> 
>      Sinto não poder colaborar mais, no entanto, estou curioso para
> saber onde adquiriu e como são o funcionamento e a estabilidade dessa
> placa de rede dual da adaptec. Estou precisando de uma placa assim,
> com bom desempenho e custo "relativamente" baixo.
> 
>      Obrigado.
> 
> Cássio
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>