Re: Aufsetzen einer überbrückenden Firewall
Hallo,
Andreas Carduck <andreas.carduck@gmx.de>:
>Eine Frage noch bevor ich jetzt wieder Stunden im Internet verbringe,
>sind die Regeln von IPTables und ebtables kompatibel?
Nein, das sind unterschiedliche Ansätze. ebtables ist ein Filter für
Ethernet Bridges. Seine Filterkriterien sind die Frame Eigenschaften wie
MAC-Adressen, Ethernet-Protokollnummern (-> /etc/ethertypes), Spanning Tree
Informationen, VLANs, 802-3 Header etc. Ebtables kann alle darüberliegenden
Protokolle gleichermaßen erfassen (z.B. IPv4, IPv6, AppleTalk, Novell IPX
etc). ebtables kann aber nicht mit anderen Netzwerktechnologien arbeiten
(z.B. SL/IP, Token Ring, FDDI, ...).
Netfilter/IPtables ist eine Paketfilterlösung für TCP/IPv4. (Es gibt auch
eine Variante ip6tables für IPv6). Dementsprechend sind die Filterkriterien
die Eigenschaften der TCP/IP Protokollfamilie, z.B. IP-Nummern,
Protokollnummern im TCP/IP Stack (-> /etc/protocols), Portnummern von TCP
und UDP (-> /etc/services), ICMP Typen, TCP Sessions, TTL, etc. Netfilter
ist auf die TCP/IP Protokollfamilie beschränkt, kann aber oberhalb beliebiger
Netzwerktechnologien arbeiten.
Allerdings gibt es Überschneidungen, denn ebtables kann auch mit einigen
wichtigen TCP/IP Kontrollinformationen umgehen (z.B. IP-Nummern, Portnummern),
und IPtables kann zumindest die Source MAC Adresse und den physischen
Bridge-Port in die Filterregeln einbeziehen.
Regeln, die mit diesen wenigen Informationen auskommen, lassen sich
konvertieren. Allerdings ist mir ein kein Tool bekannt, das dies automatisch
könnte.
Gruß, Harald
Reply to: