[Pluto-security] firewall, routing, bridging
Piviul
pluto@flanet.org
Mon, 13 May 2002 13:19:48 +0200
Grazie mille Tom ma ho ancora le idee molto confuse:
1. non ho capito se =E8 possibile configurare una box linux che faccia il
forward dei pacchetti da una rete a un'altra utilizzando routing e
iptables. (ribadisco, pur essendo convinto che sia pi=F9 giusto il
bridging: non spreca indirizzi IP e riulta pi=F9 aderente alle mie
necessit=E0). Il mio timore =E8 di non essere riuscito ad attivare il
forwarding: =E8 possibile? Avevo forse sbagliato le route? Giusto per
imparare qualcosa!
2. Non sai nulla di RedHat 7.3 e della sua possibilit=E0 di creare un
bridge tramite bridge-utils?
Grazie mille ancora
Piviul
----- Original Message -----
From: "Tom" <dido@sicurweb.com>
To: <pluto-security@lists.pluto.linux.it>
Sent: Monday, May 13, 2002 12:41 PM
Subject: Re: [Pluto-security] firewall, routing, bridging
Ciao!
Il problema =E8 questo: un router =E8 intrinsecamente differente da un
bridge!
Lavorano proprio s 2 differenti livelli del modello iso/osi (il pirmo a
liv. 3, il secondo a liv. 2)!!!
Come ti aveva gi=E0 risposto Antonio Catani, un bridge lavora tramite le
richieste ARP, e queste non sono gestite da iptables... Per lo meno,
Netfilter non lo pu=F2 fare "cos=EC com'=E8": occorre applicare una patch al
kernel per farlo lavorare appunto a livello arp:
http://bridge.sourceforge.net/devel/bridge-nf/bridge-nf-0.0.7-against-2.
4.18.diff
Se comunque hai iptables 1.2.6a, =E8 gi=E0 nel patch-o-matic.
Tom
At 11.57 13/05/2002, you wrote:
>Ciao a tutti a voi della lista,
>un po' di tempo fa Tommaso di Donato ha risposto a un mio messaggio
>consigliandomi di installare un bridging firewall. Fin'ora non ho
ancora
>avuto tempo di provare a mettere in pratica l'articolo che mi ha
>consigliato (fra le altre cose, per chi =E8 interessato all'argomento pu=F2
>visitare il sito http://bridge.sourceforge.net/). Premesso che sono un
>novizio Linux e delle mailing list in generale avrei alcune domande:
>
>1. Ho visto che =E8 uscito RedHat 7.3 e che fra i pacchetti forniti
>(http://www.redhat.com/software/linux/pl=5Frhl.html) esiste un
>'bridge-utils v. 0.9.3' (utilities for configuring the linux ethernet
>bridge); qualcuno ne sa qualcosa? posso costruire un bridge firewall
con
>quella utility? (ancora non sono riuscito a scaricarla)
>
>2. Pur essendo convinto che la soluzione migliore per il mio problema
>sia il bridging firewall, non riesco a capire come mai non sia riuscito
>a configurare una macchina linux affinch=E9 faccia da NAT ma senza
>masquerading. Riassumo per chi fosse interessato:
>
>Posseggo 8 IP pubblici: xxx.xxx.xxx.80-87
>
>Li ho divisi in due sottoreti con
>xxx.xxx.xxx.80-83
>xxx.xxx.xxx.84-87
>
>Il gestore internet insieme agli IP mi ha fornito un router
>connesso ad internet con IP xxx.xxx.xxx.81;
>
>Ho configurato una box linux, box1, con due chede di rete
> eth1 con IP xxx.xxx.xxx.82 con subnetmask 255.255.255.252
> eth0 con IP xxx.xxx.xxx.85 con subnetmask 255.255.255.252
>
>Ho infine un altro PC, box2, con una scheda di rete
>con IP xxx.xxx.xxx.86 e subnetmask 255.255.255.252.
>
>Sulla box1 ho configurato iptables in modo che avesse ACCEPT come
>default policy nella chain FORWARD della tabella di default e il
default
>gatway all'IP del router.
>
>Sulla box2 ho inserito come defaultgatway l'ip xxx.xxx.xxx.85 e ho
>provato anche xxx.xxx.xxx.82
>
>Come mai la box1 non fa il forward dei pacchetti?
>
>Grazie mille e spero di essere stato chiaro
>
>Piviul
>
>
>=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=
=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F
>Pluto-security mailing list
>Pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security
=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=
=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F
Pluto-security mailing list
Pluto-security@lists.pluto.linux.it
http://lists.pluto.linux.it/mailman/listinfo/pluto-security