Re: Bridge + Firewall

[Roberto Meyer]

Mario Gonzalez escribi�/wrote/a �crit:

>  Hola a todos, tengo un bridge funcionando con 2 tarjetas de red. Tengo
> un problema con iptables, se supone que el trafico que quiera filtrar
> deben ir especificado en el chain FORWARD, bueno. Asi lo hago y no
> filtra nada. Ademas, las politicas las dejo en DROP y todo el trafico
> sigue pasando ;\ y para peor el /proc/sys/net/ip_forward esta en 0, es
> muy raro. Quizas me puedes dar alguna ayudadita, nos vemos ;)

El problema es conceptual.

Supongo utilizas kernel 2.4.x con netfilter (iptables). El
'bridge' comunica los segmentos (redes f�sicas) _antes_ que act�e
la funci�n de ruteo. Es decir, no hace falta habilitar ruteo para
comunicarlas, que es lo que entiendo te est� sucediendo. Con
kernels 2.2.x era distinto, tal vez de ah� tu confusi�n.

Encontr� un enlace (http://ebtables.sourceforge.net/) en el que,
parchando un kernel 2.4.x puedes hacer que netfilter 'vea'
paquetes 'puenteados' y as� filtrarlos.

Citando:

The ebtables program is a filtering tool for a bridging firewall.
The filtering is focussed on the Link Layer Ethernet frame
fields. Apart from filtering, it also gives the ability to alter
the Ethernet MAC addresses and implement a brouter.
This website is also a reference for the Linux bridge-nf code,
which gives Linux bridging IP firewall functionality by letting
iptables 'see' the bridged IP packets.
Both ebtables and bridge-nf are a part of the standard 2.6
kernel. A patch for the 2.4 stable kernel is maintained here, for
convenience. When the stable 2.6 kernel will be available,
support for 2.4 will be dropped.

Espero te sirva.

Suerte.

-
Roberto