From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <glas-sysadmins@m.gmane.org>
X-Injected-Via-Gmane: http://gmane.org/
To: sysadmins@lists.altlinux.org
From: Anton Farygin <rider@altlinux.com>
Date: Wed, 10 Oct 2007 12:28:16 +0400
Message-ID: <fei2f4$fgc$1@sea.gmane.org>
References: <fegp19$2ck$1@sea.gmane.org> <m3myuriodt.fsf@vvk.distance.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-Complaints-To: usenet@sea.gmane.org
X-Gmane-NNTP-Posting-Host: rider.balabanovo.ru
User-Agent: Thunderbird 2.0.0.6 (X11/20070804)
In-Reply-To: <m3myuriodt.fsf@vvk.distance.ru>
Sender: news <news@sea.gmane.org>
Subject: Re: [Sysadmins] =?koi8-r?b?YnJpZGdlIMTM0SDPxM7PyiDNwdvJztk=?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 10 Oct 2007 08:33:18 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/fei2f4$fgc$1@sea.gmane.org/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Vladimir V. Kamarzin пишет:
>>>>>> On 10 Oct 2007 at 02:41 "AF" == Anton Farygin writes:
> 
>  AF> Есть такая картина:
>  AF> [host1]<->network1(ethernet)<->[host2]<->network2(ethernet)
> 
>  AF> нужно что бы host1 был по факту прозрачно доступен из network2, но при 
>  AF> этом машины из сети network1 никаким образом не видели трафик сети network2.
> 
>  AF> Т.е. - бридж, но на одну машину (потом ещё одна добавиться).
> 
>  AF> br0 на host2 поднял, всё работает. Теперь собственно вопрос: как на 
>  AF> host2 запретить пропускать через bridge весь трафик с network2, за 
>  AF> исключением того, который адресован host1. И аналогично в обратную 
>  AF> сторону - запретить весь трафик из network1 в network2, за исключением 
>  AF> трафика от host1.
> 
>  AF> Я так понимаю, что это делается с помощью ebtables. Но вот правила 
>  AF> что-то никак придумать не могу. Может быть если у кого-то какие-то идеи 
>  AF> или опыт постройки такого извращения ?
> 
> Да, нужно применить ebtables. Правила примерно такие:
> 
> ebtables -P FORWARD DROP
> 
> ebtables -A FORWARD -s "$mac" -p arp --arp-ip-src "$ip" -j ACCEPT
> ebtables -A FORWARD -s "$mac" -p IPv4 --ip-src "$ip" -j ACCEPT
> 
> ebtables -A check-dst -p arp --arp-ip-dst "$ip" -j ACCEPT
> ebtables -A check-dst -p IPv4 --ip-dst "$ip" -j ACCEPT
> 
> P.S. hiddenman кажется приделал поддержку ebtables в etcnet.
> 

Немного не так, но заработало:

-p IPv4 -s <mac> --ip-src <ip> -j ACCEPT
-p ARP -s <mac> --arp-ip-src <ip> -j ACCEPT
-p ARP -d <mac> --arp-ip-dst <ip> -j ACCEPT
-p IPv4 -d <mac> --ip-dst <ip> -j ACCEPT

Спасибо.