alias interface és conntrack (csomagkövetés)

Linux-haladó

alias interface és conntrack (csomagkövetés)

  • 2584 megtekintés

( Névtelen (nem ellenőrzött) | 2003. 02. 13., cs – 01:39 )

Mintha olvastam volna valahol, hogy az alias interface _nem_ jelent kulonbozo interfacet,
valoszinuleg ezert tapasztalod a jelenseget...

handler

( gyu v | 2003. 02. 13., cs – 10:12 )

Quote:

On 2003-02-13 01:39, Anonymous wrote:
Mintha olvastam volna valahol, hogy az alias interface _nem_ jelent kulonbozo interfacet,
valoszinuleg ezert tapasztalod a jelenseget...


Konkrétabbat én se tudok mondani. Max máshogy fogalmazni, főleg, hogy nem vagyok még benne az iptables-ben. Szóval, az iptables-nek, a fizikai interface nevét kell megadni, ahova beesik a csomag. És a gépben, olyan fizikai interfészed nincs, hogy eth0:1
Az eth0:1 csak egy szimbolikus név ahhoz pl. hogy ha ping-nek meg akarod mondani, hogy melyik if-re bindolva küldjön ki packetokat, vagy egy apacs VH-nak meg akarod mondani, hogy milyen ip aliasos if-re bindoljon rá.
De a iptables/netfilter még azon a szinten kezeli le a csomagot, ahogy az ala natúr beesett az eth0 fizikai interfészen.
Azt már nem tudom persze, hogy mi a helyzet akkor, ha egy kártyán .1q -t játszik valaki

( nevergone v | 2003. 01. 26., v – 04:46 )

Sziasztok...

Két kérdésem lenne:
1.) Van egy hálókártyám, aminek van alias interface is, szal eth0, és eth0:1. Erre a hálózat kialakítása miatt volt szükség. Most tűzfalat készítek a gépemre, és aszerint szeretném saját láncokra terelni a csomagokat, hogy melyik interface -ra érkeztek be. Viszont tesztelésképpen kipróbáltam:
iptables -A INPUT -i eth0:1 -j DROP

Erre ő ezt mondta:
Warning: weird character in interface ´eth0:1´ (No aliases, :, ! or *).
És nem veszi figyelembe ezt a parancsot. Sőt, ha ugyanezt a parancsot az eth0 interface -re adom ki, akkor azt alkalmazza az eth0:1 -re is. Ez azért ciki, mert pl. az ifconfig így hivatkozik rá. Hogyan tudnám különválasztani a két interface -ra érkező csomagokat...?

Egy másik kérdés: szeretnék a tűzfalon csomagkövetést (connection tracking) alkalmazni ftp-re és irc-re. Viszont nem nagyon találtam hozzá leírást. Valaki fel tudná vázolni, milyen iptables parancsokkal kell ezt létrehozni?

Előre is kösz.

( Névtelen (nem ellenőrzött) | 2003. 01. 26., v – 09:24 )

Nem vagyok iptables guru, de ez segíthet:

http://www.netfilter.org/documentation/tutorials/blueflux/iptables-tutorial.html

( nevergone v | 2003. 01. 26., v – 14:33 )

Nos, meglestem (kösz a linket), de ott sem találtam választ az első kérdésre...