Vladimir V. Kamarzin пишет: >>>>>> On 10 Oct 2007 at 02:41 "AF" == Anton Farygin writes: > > AF> Есть такая картина: > AF> [host1]<->network1(ethernet)<->[host2]<->network2(ethernet) > > AF> нужно что бы host1 был по факту прозрачно доступен из network2, но при > AF> этом машины из сети network1 никаким образом не видели трафик сети > network2. > > AF> Т.е. - бридж, но на одну машину (потом ещё одна добавиться). > > AF> br0 на host2 поднял, всё работает. Теперь собственно вопрос: как на > AF> host2 запретить пропускать через bridge весь трафик с network2, за > AF> исключением того, который адресован host1. И аналогично в обратную > AF> сторону - запретить весь трафик из network1 в network2, за исключением > AF> трафика от host1. > > AF> Я так понимаю, что это делается с помощью ebtables. Но вот правила > AF> что-то никак придумать не могу. Может быть если у кого-то какие-то идеи > AF> или опыт постройки такого извращения ? > > Да, нужно применить ebtables. Правила примерно такие: > > ebtables -P FORWARD DROP > > ebtables -A FORWARD -s "$mac" -p arp --arp-ip-src "$ip" -j ACCEPT > ebtables -A FORWARD -s "$mac" -p IPv4 --ip-src "$ip" -j ACCEPT > > ebtables -A check-dst -p arp --arp-ip-dst "$ip" -j ACCEPT > ebtables -A check-dst -p IPv4 --ip-dst "$ip" -j ACCEPT > > P.S. hiddenman кажется приделал поддержку ebtables в etcnet. >
Понял, спасибо. Да, какая-то поддержка ebtables есть в etcnet, сейчас буду смотреть. _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
