transzparens csomagszűrő bridge

Fórumok

Üdv!

Szeretném az itt: http://www.debian.org/doc/manuals/securing-debian-howto/ap-bridge-fw.en.html D2. pont alatt látható csomagszűrű tűzfalat megvalósítani. Az egyedüli problémám vele az, hogy:

"If you want access to the bridge with ssh, you must have a gateway or you must first connect to another server, such as the "Mail Server", and then connect to the bridge through the internal network card."

Megoldható az, hogy kintről, tehát a router felől is, vagy akár csak onnan lehessen ssh-n elérni ezt a bridge-et?

szerk: ja, és ezt 2.6-os kernellel szeretném elkövetni, nem 2.4-essel, mint ahogyan a cikk írja

Petya

Hozzászólások

Nagyon lehetetlen dolgot kérdeztem? Tud valaki segíteni?

Petya

Adsz az egyik hálókártyának egy IP-t?
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

bridgre is lehet felhuzni interfacet :) ipvel
--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

Üdv!

Köszönöm a válaszokat.

Tehát akkor a példánál maradva:

/usr/sbin/brctl addbr br0

/usr/sbin/brctl addif br0 eth0
/usr/sbin/brctl addif br0 eth1
     
/sbin/ifconfig eth0 1.2.3.4 netmask 255.255.255.0 broadcast 1.2.3.254
/sbin/ifconfig eth1 0.0.0.0

Ez így működni fog? És így csak az eth0 felől lehet majd elérni ssh-n a gépet, igaz? Vagy az eth1 irányból is?
Megadhatom az eth0 és eth1 adatait az /etc/nework/interfaces-ben is?

Petya

Üdv!

Végül sikerült megoldani, de belefutottam egy problémába:

/etc/network/interfaces:


auto lo
iface lo inet loopback

auto br0
iface br0 inet static
        address 1.2.3.4
        netmask 255.255.255.0
        network 1.2.3.0
        broadcast 1.2.3.255
        gateway 1.2.3.254
        bridge_ports eth0 eth1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 1.2.3.254
        dns-search mydomain.company.hu

Nevezetesen abba, hogy ha a bridge úgy indul el, hogy nincsenek bedugva a hálózati kábelek, akkor nem működik. Sőt, ha bedugott kábelekkel elindul, utána kihúzom őket, majd megint be, akkor sem jó. Ez a normális működés, vagy valamit rosszul csináltam?

Petya

Elszámoltál 3o-ig miután bedugtad a kábeleket? Eltart egy ideig, amig átvált "forwarding" módba. Ezen kívül nincs más amiért ne működne. A bro ugyanúgy megy mint egy mezei interfész.

Esetleg nézzed a kernel log-okat, hogy mi történik.

Üdv!

Több perc után sem áll helyre. Amit észrevettem, az az, hogy nem érzékeli az eth1 kihúzását-bedugását. Tehát nem jelenik meg a logokban sem semmi. Az eth0-ra ugyanez jó, ott azonnal beírja a logba és a képernyőre is, ha kihúzom vagy bedugom. Ez mitől lehet?

Petya

Üdv!

Az eth0 az egy gagyi realtek 8139, az eth1 pedig egy Intel chipes kártya, az lspci azt mondja rá, hogy Digital Corp, típusra nem emlékszem most fejből, mindjárt megnézem pontosan, de a tulip driverrel megy.

A mii-tool szépen látja a link status-t, ezért nem értem, hogy miért nem áll fel az eth1...

A kézzel felhúzást is mindjárt kipróbálom.

Petya

Üdv!

Két Realtek kártyával működik a dolog, szépen feláll a bridge. Most jön az a része, hogy a tűzfalat állítanám be, ehhez kérek segítséget. Olvastam ebtables-ről, de annyira nem értek hozzá, ha lehet inkább iptables-t használnék, és iptables-p2p-t a filecsere tiltására. Le szeretném tiltani a microsoft-os portokat is (137,139).

Ezeket hogyan tudom megcsinálni egy bridge-en? Tudtok segíteni?

Petya

Hello!

Próbálom a tűzfalat beálíltani, csak egy interface-re csinálok szabályokat, de így sem megy. Tudna valaki példát írni rá?

Az ebtables honlapján lévő doksi számomra áttekinthetetlen, iyen broute, meg hasonlók nem kellenek nekem, csak simán szeretnék bizonyos portok kivételével mindent tiltani.

Petya