Journal Bridge + Iptables ?

Posté par Jeremy SALMON (site web personnel) le 22 juin 2004 à 20:23.

Étiquettes :

juin

2004

Bonjour Journal,

Dis moi j'ai beau chercher mais j'ai un bridge debian qui fonctionne très bien (kernel 2.6.6) mais des règles Iptables qui ne fonctionne pas...

iptables -A xxxx -p tcp --s(d)port -j DROP ne fonctionne pas.

Apparemment le bridge fonctionne en niveau 2 et net_filter en niveau 3. Est ce vraiment çà?

Comment puis je filtrer tout çà?

Merci journal...

# ebtables

Posté par Alban Crequy (site web personnel) le 22 juin 2004 à 20:59. Évalué à 6.

iptables => niveau 3
ebtables => niveau 2

http://ebtables.sourceforge.net/(...)
« The ebtables program is a filtering tool for a bridging firewall. »
# ebtables

Posté par Guillaume G. le 22 juin 2004 à 21:01. Évalué à 5.

Voir http://ebtables.sourceforge.net/(...) . Je n'ai jamais eu l'occasion de tester, mais la solution à ton problème passe par là.
# remarque....

Posté par Antoine Reversat le 22 juin 2004 à 21:17. Évalué à 1.

iptables -A xxxx -p tcp --s(d)port -j DROP
si t'as règle est vraiment comme ca ca m'etonne pas : faut mettre --s(d)port num_port -j DROP
# bridge fonctionne en niveau 2 et net_filter en niveau 3. Est ce vraiment çà?

Posté par Alexandre Boeglin le 22 juin 2004 à 21:36. Évalué à 4.

c'est exactement ca.

sur le site d'ebtables y'a une qui le résume assez bien http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html(...) qui comprend entre autres une big picture assez parlante : http://ebtables.sourceforge.net/br_fw_ia/PacketFlow.png(...)

en gros, netfilter est au niveau de la couche 3. un paquet qui est juste bridgé entre 2 interfaces ne montera pas plus haut que la couche 2. il faut soit qu'il soit à destination de la passerelle (bridge), en provenance de la passerelle, ou que la passerelle le route vers une autre interface (hors du bridge) pour qu'il ppasse par la couche 3 à un moment ou à un autre.

maintenant une autre question :

je fais un bridge entre une interface wifi et une interface ethernet. est-ce qu'utiliser ebtables pour filtrer (par exemple, la première moitié de la plage est pour wifi, l'autre pour filaire) et ensuite utiliser un contrôle d'accès basé sur l'IP est fiable (par exemple interdire tel ou tel service au wifi)? ou bien c'est complètement mauvais? et en ce cas, pourquoi?
# Merci !!!

Posté par Jeremy SALMON (site web personnel) le 22 juin 2004 à 21:51. Évalué à 1.

Merci a tous !!!

C'est exactement ce qu'il me fallait...

Au boulot ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# ebtables

# ebtables

# remarque....

# bridge fonctionne en niveau 2 et net_filter en niveau 3. Est ce vraiment çà?

# Merci !!!