Re: Linux Brücke - Kernel 2.4 Routing-Problem

[Markus Schulz]

Am Freitag, 29. September 2006 20:12 schrieb Markus Schulz:
> Am Freitag, 29. September 2006 19:54 schrieb Stefan Bauer:
> > gpgkeys: key 02D0ADDAD5176489 not found on keyserver
> >
> > Markus Schulz schrieb:
> > > Hast du auch das hier gelesen:
> > >
> > > bash# ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
> > > --ip-destination-port 80 -j redirect --redirect-target
> > > ACCEPT
> >
> > ja ich hab sogar noch weiter gelesen ;)
> >
> >
> > To my surprise, even if I removed the ebtables statement, it
> > still works. Care to comment why ?
> > In other words, the following statment is sufficient!
> >
> > iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 \
> > -j REDIRECT --to-port 3128
> >
> > sowie die Antwort darauf:
> >
> > By the time i worked on that problem iptables was not able to "see"
> > packets going thru the bridge. There was even another proyect
> > useful for bringing packets into iptables: the frame diverter.
> >
> > Perhaps there was a promise to patch iptables. Maybe iptables is
> > now capable of doing that without ebtables.
>
> ok, hatte das nur überflogen.
> Ich bleibe aber dabei, das iptables diese Pakete nicht zu Gesicht
> bekommt.
>
> Nach dieser Grafik
> http://ebtables.sourceforge.net/br_fw_ia/PacketFlow.png erscheint er
> mir aber unlogisch wie das ohne ebtables funktionieren soll.(ausser
> mittels Routing Regeln)

Hmm ist aber eigentlich quark, gerade in dieser Grafik sieht man  ja 
eigentlich, das die Pakete sehr wohl die PreRouting Chain der NAT und 
Mangle Table durchlaufen. Bin jetzt auch etwas verdutzt. 


-- 
Markus Schulz

Re: Linux Brücke - Kernel 2.4 Routing-Problem

[Markus Schulz]

Am Freitag, 29. September 2006 19:54 schrieb Stefan Bauer:
> gpgkeys: key 02D0ADDAD5176489 not found on keyserver
>
> Markus Schulz schrieb:
> > Hast du auch das hier gelesen:
> >
> > bash# ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
> > --ip-destination-port 80 -j redirect --redirect-target
> > ACCEPT
>
> ja ich hab sogar noch weiter gelesen ;)
>
>
> To my surprise, even if I removed the ebtables statement, it still
> works. Care to comment why ?
> In other words, the following statment is sufficient!
>
> iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 \
> -j REDIRECT --to-port 3128
>
> sowie die Antwort darauf:
>
> By the time i worked on that problem iptables was not able to "see"
> packets going thru the bridge. There was even another proyect useful
> for bringing packets into iptables: the frame diverter.
>
> Perhaps there was a promise to patch iptables. Maybe iptables is now
> capable of doing that without ebtables.


ok, hatte das nur überflogen.
Ich bleibe aber dabei, das iptables diese Pakete nicht zu Gesicht 
bekommt. 

Nach dieser Grafik 
http://ebtables.sourceforge.net/br_fw_ia/PacketFlow.png erscheint er 
mir aber unlogisch wie das ohne ebtables funktionieren soll.(ausser 
mittels Routing Regeln)

Würde mich direkt interessieren warum es bei demjenigen auch ohne 
ebtables BRoute Regel funktioniert hat.

-- 
Markus Schulz

> ich hatte einmal ein kommandozeilenprogramm, mit dem ich word-datein
> bearbeiten konnte, weiß aber nicht mehr wie das heißt.

find . -name "*.doc" | xargs rm -f {} \;
[Andreas Kretschmer in dug]

Re: Linux Brücke - Kernel 2.4 Routing-Problem

[Markus Schulz]

Am Freitag, 29. September 2006 18:59 schrieb Stefan Bauer:
> gpgkeys: key 02D0ADDAD5176489 not found on keyserver
>
> Markus Schulz schrieb:
> > Die Pakete durchlaufen keine iptables chains, da ja nichts geroutet
> > wird.
>
> sicher? ich konnte auf freshmeat[1] anderers lesen. ich will einfach
> nur vermeiden extra einen neuen kernel zu bauen (die kiste steht
> nichtmal hier lokal) nur für einen befehl, welcher evtl. auch anders
> realisierbar ist.
>
> [1] http://osx.freshmeat.net/articles/view/1433/

Hast du auch das hier gelesen:

bash# ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
--ip-destination-port 80 -j redirect --redirect-target ACCEPT
...
The first command says that packets passing through the bridge going to 
port 80 will be redirected to the local machine, instead of being 
bridged.


-- 
Markus Schulz

"Plug and Play" ist eine ganz tolle Sache, leider funktioniert es in der 
Regel nur zu 50 Prozent. Um exakt zu sein: "Plug" gelingt eigentlich 
immer... (Aus dem C-Tutorial von Jürgen Dankert)

Re: Linux Brücke - Kernel 2.4 Routing-Problem

[Markus Schulz]

Am Freitag, 29. September 2006 16:55 schrieb Stefan Bauer:
[bridge kram]
> Jetzt würde ich gerne den Verkehr, welcher über die Bridge geht und
> den Zielport 80 hat (--dport 80) an den lokalen Squid auf Port 3128
> übergeben.
>
> Hier dachte ich an: iptables -t nat -A PREROUTING -i eth0 -p tcp
> --dport 80 -j REDIRECT --to-port 3128
>
> Funktioniert so aber nicht, die Anfragen gehen weiter über die Bridge
> und der Proxy sieht nichts von.

Die Pakete durchlaufen keine iptables chains, da ja nichts geroutet 
wird. Schau dir mal die ebtables an. Entsprechende Dokumentation ist im 
Internet haufenweise zu finden.


-- 
Markus Schulz

Programming today is a race between software engineers striving to build 
bigger and better idiot-proof programs, and the Universe trying to 
produce bigger and better idiots. So far, the Universe is winning. - 
Rich Cook