On Friday 15 January 2010 07:05:46 am Alejandro Vargas wrote: > El día 15 de enero de 2010 05:02, Luciano Ruete > > <[email protected]> escribió: > > Se puede matchear el tráfico bridgeado hay un match especial llamado > > physdev, del man de iptables: > > > > physdev > > This module matches on the bridge port input and output > > devices enslaved to a bridge device. This module is a part of the > > infrastructure that enables a transparent bridging IP firewall and is > > only useful for kernel versions above version 2.5.44. > > Lo intenté pero me parece que serviría para seleccionar tráfico que > pasa por el bridge de la misma manera que manera que seleccionás una > interface determinada (-i eth0 por ejemplo) > > > Yo lo he usando para usar htb-gen en bridge y funciona perfecto. > > Lo voy a intentar de nuevo. ¿O sea entonces tendría que poner algo como?: > > iptrables -I FORWARD -m phisdev --phisdev-is-bridged -d <ip destino> -j > REJECT > > Me parece que ya probé eso y no me funcionó... pero probaré de nuevo. > ¿Será que hay que cargar el módulo de ebtables para que funcione esto?
No, no hace falta ebtables, el uso que le di yo fue algo así: Ej. tengo un bridge br0 con las ifaces eth1 y eth2 Entonces matcheaba con --physdev-out eth1 y --physdev-out eth2, porque para control de ancho de banda se matchea en saliente, pero podría usarse -- physdev-in también. Osea tu regla quedaría así: iptables -I FORWARD -m physdev --physdev-out ethx -d $ip_destingo -j REJECT eso debería funcionarte -- Luciano
