Re: Bridge + Firewall

[Roberto Meyer <rmeyer@idr.org.ar>]

Mario Gonzalez escribió/wrote/a écrit:

>  Hola a todos, tengo un bridge funcionando con 2 tarjetas de red. Tengo
> un problema con iptables, se supone que el trafico que quiera filtrar
> deben ir especificado en el chain FORWARD, bueno. Asi lo hago y no
> filtra nada. Ademas, las politicas las dejo en DROP y todo el trafico
> sigue pasando ;\ y para peor el /proc/sys/net/ip_forward esta en 0, es
> muy raro. Quizas me puedes dar alguna ayudadita, nos vemos ;)

El problema es conceptual.

Supongo utilizas kernel 2.4.x con netfilter (iptables). El
'bridge' comunica los segmentos (redes físicas) _antes_ que actúe
la función de ruteo. Es decir, no hace falta habilitar ruteo para
comunicarlas, que es lo que entiendo te está sucediendo. Con
kernels 2.2.x era distinto, tal vez de ahí tu confusión.

Encontré un enlace (http://ebtables.sourceforge.net/) en el que,
parchando un kernel 2.4.x puedes hacer que netfilter 'vea'
paquetes 'puenteados' y así filtrarlos.

Citando:

The ebtables program is a filtering tool for a bridging firewall.
The filtering is focussed on the Link Layer Ethernet frame
fields. Apart from filtering, it also gives the ability to alter
the Ethernet MAC addresses and implement a brouter.
This website is also a reference for the Linux bridge-nf code,
which gives Linux bridging IP firewall functionality by letting
iptables 'see' the bridged IP packets.
Both ebtables and bridge-nf are a part of the standard 2.6
kernel. A patch for the 2.4 stable kernel is maintained here, for
convenience. When the stable 2.6 kernel will be available,
support for 2.4 will be dropped.

Espero te sirva.

Suerte.

-
Roberto