* [Sysadmins] bridge и iptables
@ 2008-06-04 14:50 Timur Batyrshin
2008-06-05 7:11 ` Vladimir V. Kamarzin
2008-06-05 8:22 ` Владимир
0 siblings, 2 replies; 3+ messages in thread
From: Timur Batyrshin @ 2008-06-04 14:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На хосте поднят мост (bridge).
При приходе сетевого пакета на физический интерфейс что сначала
происходит -- обработка его внутри моста или обработка его правилами
iptables (располагаются в /etc/net/ifaces/default/fw)?
Если первое, то можно ли как-нибудь фильтровать пакеты _до_ поступления
их на мост? Например, чтобы отсечь левые бродкасты.
На всякий случай:
[root@horus filter]# brctl show
bridge name bridge id STP enabled interfaces
vzbr0 8000.0018513a5e16 no eth0
veth192168167.0
veth10887.0
veth10111.0
veth10112.0
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [Sysadmins] bridge и iptables
2008-06-04 14:50 [Sysadmins] bridge и iptables Timur Batyrshin
@ 2008-06-05 7:11 ` Vladimir V. Kamarzin
2008-06-05 8:22 ` Владимир
1 sibling, 0 replies; 3+ messages in thread
From: Vladimir V. Kamarzin @ 2008-06-05 7:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 04 Jun 2008 at 20:50 "TB" == Timur Batyrshin writes:
TB> На хосте поднят мост (bridge).
TB> При приходе сетевого пакета на физический интерфейс что сначала
TB> происходит -- обработка его внутри моста или обработка его правилами
TB> iptables (располагаются в /etc/net/ifaces/default/fw)?
TB> Если первое, то можно ли как-нибудь фильтровать пакеты _до_ поступления
TB> их на мост? Например, чтобы отсечь левые бродкасты.
Ну iptables -i ethX использовать можно - оно сработает до попадания в
бридж. Ещё есть классная штука - ebtables.
--
vvk
Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [Sysadmins] bridge и iptables
2008-06-04 14:50 [Sysadmins] bridge и iptables Timur Batyrshin
2008-06-05 7:11 ` Vladimir V. Kamarzin
@ 2008-06-05 8:22 ` Владимир
1 sibling, 0 replies; 3+ messages in thread
From: Владимир @ 2008-06-05 8:22 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Timur Batyrshin пишет:
> На хосте поднят мост (bridge).
> При приходе сетевого пакета на физический интерфейс что сначала
> происходит -- обработка его внутри моста или обработка его правилами
> iptables (располагаются в /etc/net/ifaces/default/fw)?
>
>
Настраивал в одном месте похожее, только в bridges объединялись vlan
Вывод сделал - в подобных случаях правила iptables нужно настраивать
и тестировать экспериментально, а не заранее придумывать "теоретически".
Т.е. еще не факт, если bridge работает на 2 уровне ISO/OSI, то iptables
на него
не влияют.
> Если первое, то можно ли как-нибудь фильтровать пакеты _до_ поступления
> их на мост? Например, чтобы отсечь левые бродкасты.
>
>
>
> На всякий случай:
> [root@horus filter]# brctl show
> bridge name bridge id STP enabled interfaces
> vzbr0 8000.0018513a5e16 no eth0
> veth192168167.0
> veth10887.0
> veth10111.0
> veth10112.0
>
--
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru
^ permalink raw reply [flat|nested] 3+ messages in thread
end of thread, other threads:[~2008-06-05 8:22 UTC | newest]
Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-06-04 14:50 [Sysadmins] bridge и iptables Timur Batyrshin
2008-06-05 7:11 ` Vladimir V. Kamarzin
2008-06-05 8:22 ` Владимир
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git