Ola, 2015-08-27 13:32 GMT-03:00 Marcos Carraro <marcos.g.carr...@gmail.com>:
> Boa Tarde, > > Pessoal alguém sabe me informar se é possível criar no Linux uma placa > virtual, e nesta placa virtual amarar a ela vários MACs das estações, e > então deixar estas estações isoladas de outras estações, algo parecido com > o que é feito em switchs gerenciáveis, porém sem o uso delas, apenas do > linux e uma única placa de rede. > > Encontrei algumas coisas com o uso do iproute2 + macvlan mas nada claro, > de como utilizar, ou como funciona... > > Na verdade seria o Linux se comportando como uma Switch Gerenciavel L2 > > Abraços > > *--* > Att > Marcos Carraro > about.me/marcoscarraro > Para fazer isso teria que ter cada estação conectado em uma PHY independente. Isso pode ser feito usando várias placas de rede. Existem placas com múltiplos PHY (4). E usar o ebtables para fazer o controle. Uma alternativa e usar o 802.1x e cada estação ingressar/autenticar em uma vlan (802.1q). Da para fazer usando somente o 802.1q. O problema e que nem todas as placas (driver) ou sistema operacional suportam o 802.1q ou 802.1x. Além do problema de endereçamento ip, já que cada vlan e uma rede independente. Talvez de para contornar isso fazendo bridge para uma outra interface, com a dummy ou tap. O ebtables ou mesmo o iptables controla quais os mac podem se comunicar com o linux. Isso não impede de outra estação entrar na mesma vlan (autenticação controla isso). Nunca implantei uma 802.1x. Mas 802.1q tenho usado sempre que preciso de mais redes. Por exemplo isolar as redes WiFis. Se compra um switch gerenciável a partir de R$850. Alguns switchs baratos não gerenciáveis podem ser modificados para suportar 802.1q. Mas, precisa saber catar bits para reprogramar a eeprom. Um desses switch usa o chip RTL8309SB, de 8 portas. Reprogramei algumas para ter vlans. Também da para criar port vlan (pvlan), isso isola as portas ou grupo de portas de se comunicarem entre si. pvlan e vlan são combinados para ter uma 802.1q. Se tiver dois ou mais linux: Instale o pacote vlan não configure a ethX (sem ip), ou a derrube (ifdown ethX) crie uma vlan vconfig add ethX 2 configure um ip ip addr add 192.168.2.1/24 dev ethX.2 (mude o final do ip para a outra estação) suba as interfaces ip link set up dev ethX ip link set up dev ethX.2 pode criar mais uma e configurar uma 3 estação vconfig add ethX 3 ip addr add 192.168.3.1/24 dev ethX.3 ip link set up dev ethX.3 Na 3a estação (ethX.3), pode configurar o ip da rede ethX.2, que não vai conseguir se comunicar com a estação que só tem a ethX.2 configurada. As vlan vão de 2 a 4095 (0 e 1 são reservados) Isso não impede que um sniffer ou mesmo o OS informe quais as vlans disponíveis na rede. -- Paulino Kenji Sato
