Re: NAT "trasparente"
On Tue, 30 Aug 2005 11:42:43 +0200
Lucio Crusca <lcml@pixel.it> wrote:
> Avevo capito che metter su il bridge significasse non poter filtrare a
> livello IP (straluna propone proxy-arp anche per questo motivo).
No no no....anche con bridge puoi filtrare a layer3 solo che devi
patchare il kernel (per 2.4, per 2.6 no).
Vedi i link che ti hanno gia' passato...
Uso con soddisfazione entrambe le soluzioni, scelgo una pittosto che
l'altra a seconda del caso specifico. Quantitativamente sono molto
simili, qualitativamente no.
>Posso anche loggare/droppare i pacchetti ARP fra le due schede (in
>particolare quelli dal router verso la LAN)?
Certo. Se ti basta droppare i mac-address vedi man iptables
--mac-source. Altrimenti se ti interessa tutto l'header vedi ebtables
(sempre il bridge) e/o arptables (questo e' indipendente dalla scelta).
Scusa la fretta ma oggi ho l'acqua alla gola...
stasera mi (ri)leggo il tuo post.
ciao,
a.
Reply to: