Re: Transparente Bridge mit iptables
nemesis schrieb:
> Ok, dann hier mal das ganze Szenario:
>
> Ist-Zustand:
> Momentan befinden sich, aus historisch gewachsenen Gründen, die Rechner
> im Subnetz 195.172.0.0/16
Das heißt, deine Linux-Bridge hängt in zwei Netzen mit 195.172.101.17
sowie 172.16.0.254 (IP der beiden Interfaces)?
Als Beispiel:
Client1: 195.172.101.1 will den SAP-Router erreichen, welcher aber
schon unter 172.16.0.1 lauscht, sendet seine Pakete aber noch an
195.172.101.65. Die Bridge erkennt das und schickt es an alle Ihre
Interfaces weiter.
----------------------
physdev
This module matches on the bridge port input and output
devices enslaved to a bridge device. This module is a part of the
infrastructure that enables a transparent bridging IP firewall and is
only useful for kernel versions above version 2.5.44.
----------------------
Also folgende Regel auf deiner Bridge:
iptables -t nat -A PREROUTING -p tcp -m physdev --physdev-in eth0 -d
195.172.101.65 -j DNAT --to-destination 172.16.0.1
Jetzt sollten Pakete am SAP-Router mit Absender 195.172.101.1 und Ziel
172.16.0.1 ankommen. Die Antworten gehen wieder über die Bridge, sind
aber schon/noch korerkt adressiert (die alten IP's gibt es ja weiterhin).
Um jetzt das neue Netzwerksegment 172.16.0.0/16 auf die alten IP's
abzubilden folgendes:
Client1 soll auch auf seiner neuen Adresse schon ereichbar sein:
(Beispiel 172.16.0.5)
iptables -t nat -A PREROUTING -p tcp -m physdev --physdev-in eth1 -d
172.16.0.5 -j DNAT --to-destination 195.172.101.1
Das DNAT-Problem wie in meinem ersten Post erwähnt, ist hier doch
nicht relevant, da die Bridge nicht direkt Adressat der Pakete ist.
Ich hoffe ich habe keinen Denkfehler.
--
stefan
Reply to: