On Tuesday 19 January 2010 04:28:54 pm Alejandro Vargas wrote: > El día 15 de enero de 2010 16:44, Luciano Ruete > > <[email protected]> escribió: > > No, no hace falta ebtables, el uso que le di yo fue algo así: > > Ej. tengo un bridge br0 con las ifaces eth1 y eth2 > > > > Entonces matcheaba con --physdev-out eth1 y --physdev-out eth2, porque > > para control de ancho de banda se matchea en saliente, pero podría usarse > > -- physdev-in también. > > > > Osea tu regla quedaría así: > > iptables -I FORWARD -m physdev --physdev-out ethx -d $ip_destingo -j > > REJECT > > > > eso debería funcionarte > > Bueno, finalmente logré que funcionara. > > La cosa es esta: tengo que cargar el módulo ebtables. De lo contrario > simplemente no machea las reglas de iptables. > > Otra cosa que noté es que si modifico las reglas, las conexiones que > ya están establecidas siguen funcionando. Por otro lado, si una > maquina estaba pasando porque tenía una regla de ACCEPT, y le saco esa > regla, las nuevas paginas que quiera acceder caen al final de la lista > pero las que ya estaba accediendo siguen funcionando. Al menos durante > un rato o tal vez mientras siga habiendo tráfico hacia esa IP.
Eso es parte de conntrack, si hacés el ACCEPT de ESTABLISHED, RELATED antes del REJECT o DROP te va a pasar eso. Una solución es hacer el DROP o REJECT antes del ACCEPT del ESTABLISHED, RELATED, otra es hacer un flush de conntrack o borrar las reglas de a una, para eso existe conntrack (el comando), tiene un -F para borrar todo o selectores para borrar por pares de ips protocolos etc. -- Luciano
