Bridge forgalom feldolgozása

 ( chris19 | 2014. április 11., péntek - 23:01 )

Sziasztok!

Arra lennék kíváncsi, hogy bridge interfészeknél
az átmenő forgalmat milyen módon lehet az adott hoszton
futó programmal feldolgozni?

Hogy egy kicsit érthetőbb legyen a kérdésem: pl. bridge módban
bekötött IPS, content filter, spam szűrő eszközöknél általában
a bridge interfésznek nincs IP-je. De ebben az esetben a
hoszton futó "szűrő" program valamilyen módon mégis hozzá fér a tranzit
forgalomhoz. Hogyan?
Eljuttatható-e a forgalom egy spamassassin-hoz vagy postfixhez?
Ha igen, akkor hogyan? ebtables?

A válaszokat előre is köszönöm.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

hát őőőő, mindenféle transzparens protokol szintű proxyval meg nyócmillió tűzfal szabállyal valószinüleg.

A transzparens proxy-s megoldásnál is szükséges, hogy
legyen az interfészen IP. Nélküle nem lehet bind-olni.

Tűzfal szabályok? Ilyenkor feljön a forgalom a csomagszűrőig?
Szerintem nem, de lehet, hogy tévedek.

subs (nem értem a kérdést sem... még nem láttam olyan bridge-t, aminek ne lett volna IP-je, de én csak SOHO routeren láttam ilyet "élesben")

A legtöbb IPS és tartalomszűrő eszközt úgy hirdetik, hogy a bridge portokat nem lehet támadni, mert nincs IP társítva a portokhoz (a menedzsment portot leszámítva).
Nem tartom kizártnak, hogy ezekben az eszközökben módosított kernel van és ezért tud ilyet.

Ezeket most találtam:
http://serverfault.com/questions/542358/transparently-redirecting-http-traffic-to-local-proxy-in-bridge-mode
https://trafficserver.readthedocs.org/en/4.1.x/admin/transparent-proxy/bridge.en.html

Az első linknél valóban nincs IP, de azt írja az illető, hogy nem is működik neki :(

Háááát... ebből amit írtál, kb. az ebtables az egyetlen, ami eszembe jutna, de a konkrét kivitelezésre semmi ötletem.
Kíváncsi vagyok, lesz-e egyáltalán, aki tud segíteni (azt hiszem, kezdem érteni a problémád lényegét)

"A legtöbb IPS és tartalomszűrő eszközt úgy hirdetik, hogy a bridge portokat nem lehet támadni, mert nincs IP társítva a portokhoz"
Ezzel kiállították magukról a szegénységi bizonyítványt.
--
zsebHUP-ot használok!

Nyilván ez egy picit sarkítva van, de az, hogy az interfészre nincs
IP felhúzva az egy előrelépés ahhoz képest mintha lenne.
Mármint biztonsági szempontból. Így L3 szinten nem lehet megfogni.

Linux átfolyatja a bridge forgalmat is az iptables-ön, tehát iptables szabályokkal tudsz vele dolgozni (CONFIG_BRIDGE_NETFILTER).

--

Igyekszem a mai nap folyamán összerakni egy tesztrendszert, kipróbálom
és leírom az eredményeket. Így legalább egy picit gyakorlatiasabb lesz
ez a téma.