Fabio Bizzi wrote:
Hai le idee un pò confuse, il transparent firewall si frappone *FISICAMENTE* tra il tuo GW e la tua LAN in modo che possa filtrare in maniera *trasparente* tutto il traffico, uno schema ipotetico potrebbe essere questo:192.168.1.x 0.0.0.0 0.0.0.0 192.168.1.254 PUB PC/Server<-->Switch<-->Transparent Firewall<-->Router/NAT<-->Internet
bellino!! :)
Per fare questo devi in prima istanza tirare su le interfacce Ethernet senza assegnare alcun IP e poi devi configurare il bridging. Fatto questo usi le IPTABLES specificando per ogni regola IP sorgente ed IP destinazione es:ifconfig eth0 0.0.0.0 <-Configuri eth0 ifconfig eth1 0.0.0.0 <-Configuri eth1 modprobe bridge <-Carichi il modulo di bridging brctl addbr br0 <-Crei il tuo bridge brctl addif br0 eth0 <-Inserisci le due interfacce brctl addif br0 eth1 <-Ethernet che devi "bridggiare" ;) brctl stp off <-Disabiliti lo Spanning Tree (a volte aiuta) Da non dimenticare il forwarding dell'IP: echo "0" > /proc/sys/net/ipv4/ip_forwardFatto questo hai creato un bridge sulla tua lan, ora devi impostare le IPTABLES per filtrare il traffico ad es:iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.1.5 --dport 1433 -j DROP
non avevo pensato a questa opzione... molto bella.
Così dovrebbe poter funzionare, calcola che una cosa del genere l'ho implementata un paio di anni fà e quindi se non sono stato preciso perdonami, ma la memoria non è più quella di una volta!!!! :)
perdonato! :)vado a comprare il materiale per le prove e vi faccio sapere nei prossimi giorni
ciao MaX______________________________________________ Renovamos el Correo Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es