[Pluto-security] firewall, routing, bridging

Tom dido@sicurweb.com
Mon, 13 May 2002 12:41:49 +0200


Ciao!
Il problema =E8 questo: un router =E8 intrinsecamente differente da un=
 bridge!=20
Lavorano proprio s 2 differenti livelli del modello iso/osi (il pirmo a=20
liv. 3, il secondo a liv. 2)!!!
Come ti aveva gi=E0 risposto Antonio Catani, un bridge lavora tramite le=20
richieste ARP, e queste non sono gestite da iptables... Per lo meno,=20
Netfilter non lo pu=F2 fare "cos=EC com'=E8": occorre applicare una patch al=
=20
kernel per farlo lavorare appunto a livello arp:
http://bridge.sourceforge.net/devel/bridge-nf/bridge-nf-0.0.7-against-2.4.18=
.diff
Se comunque hai iptables 1.2.6a, =E8 gi=E0 nel patch-o-matic.

Tom

At 11.57 13/05/2002, you wrote:
>Ciao a tutti a voi della lista,
>un po' di tempo fa Tommaso di Donato ha risposto a un mio messaggio
>consigliandomi di installare un bridging firewall. Fin'ora non ho ancora
>avuto tempo di provare a mettere in pratica l'articolo che mi ha
>consigliato (fra le altre cose, per chi =E8 interessato all'argomento pu=F2
>visitare il sito http://bridge.sourceforge.net/). Premesso che sono un
>novizio Linux e delle mailing list in generale avrei alcune domande:
>
>1. Ho visto che =E8 uscito RedHat 7.3 e che fra i pacchetti forniti
>(http://www.redhat.com/software/linux/pl_rhl.html) esiste un
>'bridge-utils v. 0.9.3' (utilities for configuring the linux ethernet
>bridge); qualcuno ne sa qualcosa? posso costruire un bridge firewall con
>quella utility? (ancora non sono riuscito a scaricarla)
>
>2. Pur essendo convinto che la soluzione migliore per il mio problema
>sia il bridging firewall, non riesco a capire come mai non sia riuscito
>a configurare una macchina linux affinch=E9 faccia da NAT ma senza
>masquerading. Riassumo per chi fosse interessato:
>
>Posseggo 8 IP pubblici: xxx.xxx.xxx.80-87
>
>Li ho divisi in due sottoreti con
>xxx.xxx.xxx.80-83
>xxx.xxx.xxx.84-87
>
>Il gestore internet insieme agli IP mi ha fornito un router
>connesso ad internet con IP xxx.xxx.xxx.81;
>
>Ho configurato una box linux, box1, con due chede di rete
>     eth1 con IP xxx.xxx.xxx.82 con subnetmask 255.255.255.252
>     eth0 con IP xxx.xxx.xxx.85 con subnetmask 255.255.255.252
>
>Ho infine un altro PC, box2, con una scheda di rete
>con IP xxx.xxx.xxx.86 e subnetmask 255.255.255.252.
>
>Sulla box1 ho configurato iptables in modo che avesse ACCEPT come
>default policy nella chain FORWARD della tabella di default e il default
>gatway all'IP del router.
>
>Sulla box2 ho inserito come defaultgatway l'ip xxx.xxx.xxx.85 e ho
>provato anche xxx.xxx.xxx.82
>
>Come mai la box1 non fa il forward dei pacchetti?
>
>Grazie mille e spero di essere stato chiaro
>
>Piviul
>
>
>_______________________________________________
>Pluto-security mailing list
>Pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security