Ciao!
> Ho capito giusto? un setup con ifconfig e' solo un "alias" per la vlan
> o e' proprio una cosa differente sia in teoria che in pratica? un setup
Quick errata rispetto alla mail di Cimmino: le interfaccie con il
duepunti (eth0:1) sono alias IP *sulla stessa VLAN* della interfaccia
principale (eth0).
Quelle con il punto (eth0.100) sono interfaccie relative alla vlan in
oggetto (100) su cui devono essere impostati ip differenti *per VLAN*, es
ifconfig eth0.100 192.168.1.1 netmask 255.255.255.0
ifconfig eth0.150 192.168.2.1 netmask 255.255.255.0
Per rispondere a Loris, l'interfaccia eth0 non deve avere IP address.
eth0 rappresenta la VLAN nativa, ovvero dove passa il traffico taggato
di VLAN.
Certo, si potrebbe mettere un IP anche alla eth0, ma sono robe
filosofiche, tendenzialmente non si mette ip address.
Se vuoi fare da bridge, forwardando anche le VLAN (i tag intendo), devi
avere due ethernet, poi li metti in bridge con brctl, es:
$ brctl addbr br0
$ brctl addif br0 eth0
$ brctl addif br0 eth1
$ brctl stp br0 on (abilita lo spanning tree, non si sa mai)
$ brctl show
bridge name bridge id STP enabled interfaces
br0 8000.0010c6dd8bb2 yes eth1
eth0
Per iptables, devi agire come le interfaccie in vlan fossero vere, es:
iptables -A INPUT -i eth0.100 -m state --state NEW -j ALLOW
Ciao ciao,
Gippa
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
