Sziasztok!
Arra lennék kíváncsi, hogy bridge interfészeknél
az átmenő forgalmat milyen módon lehet az adott hoszton
futó programmal feldolgozni?
Hogy egy kicsit érthetőbb legyen a kérdésem: pl. bridge módban
bekötött IPS, content filter, spam szűrő eszközöknél általában
a bridge interfésznek nincs IP-je. De ebben az esetben a
hoszton futó "szűrő" program valamilyen módon mégis hozzá fér a tranzit
forgalomhoz. Hogyan?
Eljuttatható-e a forgalom egy spamassassin-hoz vagy postfixhez?
Ha igen, akkor hogyan? ebtables?
A válaszokat előre is köszönöm.
- 3910 megtekintés
Hozzászólások
hát őőőő, mindenféle transzparens protokol szintű proxyval meg nyócmillió tűzfal szabállyal valószinüleg.
- A hozzászóláshoz be kell jelentkezni
A transzparens proxy-s megoldásnál is szükséges, hogy
legyen az interfészen IP. Nélküle nem lehet bind-olni.
Tűzfal szabályok? Ilyenkor feljön a forgalom a csomagszűrőig?
Szerintem nem, de lehet, hogy tévedek.
- A hozzászóláshoz be kell jelentkezni
subs (nem értem a kérdést sem... még nem láttam olyan bridge-t, aminek ne lett volna IP-je, de én csak SOHO routeren láttam ilyet "élesben")
- A hozzászóláshoz be kell jelentkezni
A legtöbb IPS és tartalomszűrő eszközt úgy hirdetik, hogy a bridge portokat nem lehet támadni, mert nincs IP társítva a portokhoz (a menedzsment portot leszámítva).
Nem tartom kizártnak, hogy ezekben az eszközökben módosított kernel van és ezért tud ilyet.
Ezeket most találtam:
http://serverfault.com/questions/542358/transparently-redirecting-http-…
https://trafficserver.readthedocs.org/en/4.1.x/admin/transparent-proxy/…
Az első linknél valóban nincs IP, de azt írja az illető, hogy nem is működik neki :(
- A hozzászóláshoz be kell jelentkezni
Háááát... ebből amit írtál, kb. az ebtables az egyetlen, ami eszembe jutna, de a konkrét kivitelezésre semmi ötletem.
Kíváncsi vagyok, lesz-e egyáltalán, aki tud segíteni (azt hiszem, kezdem érteni a problémád lényegét)
- A hozzászóláshoz be kell jelentkezni
"A legtöbb IPS és tartalomszűrő eszközt úgy hirdetik, hogy a bridge portokat nem lehet támadni, mert nincs IP társítva a portokhoz"
Ezzel kiállították magukról a szegénységi bizonyítványt.
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
Nyilván ez egy picit sarkítva van, de az, hogy az interfészre nincs
IP felhúzva az egy előrelépés ahhoz képest mintha lenne.
Mármint biztonsági szempontból. Így L3 szinten nem lehet megfogni.
- A hozzászóláshoz be kell jelentkezni
Linux átfolyatja a bridge forgalmat is az iptables-ön, tehát iptables szabályokkal tudsz vele dolgozni (CONFIG_BRIDGE_NETFILTER).
- A hozzászóláshoz be kell jelentkezni
Igyekszem a mai nap folyamán összerakni egy tesztrendszert, kipróbálom
és leírom az eredményeket. Így legalább egy picit gyakorlatiasabb lesz
ez a téma.
- A hozzászóláshoz be kell jelentkezni