Добрый день!Есть два интерфейса eth0 и tap0.
за eth0 сидит pppoe сервер через который выход в инет
а на tap0 вешаются клиенты openvpnНадо с eth0 на tap0 перекинуть только pppoe, все остальное порезать (мас сервера известен
)стоит linux debian.
можно было бы сделать мост, но тогда он все будет пересылать.
А проблема в том что на eth0 падает много широковещания, а tap0 бегает по wi-fi и канал падает от этого широковещания.
>можно было бы сделать мост, но тогда он все будет пересылать.
>А проблема в том что на eth0 падает много широковещания, а tap0
>бегает по wi-fi и канал падает от этого широковещания.Ну iptables на мосту вроде никто не отменял?
>>можно было бы сделать мост, но тогда он все будет пересылать.
>>А проблема в том что на eth0 падает много широковещания, а tap0
>>бегает по wi-fi и канал падает от этого широковещания.
>
>Ну iptables на мосту вроде никто не отменял?правила iptables будут распространять на пакеты между портами или мост-ПК?
>>>можно было бы сделать мост, но тогда он все будет пересылать.
>>>А проблема в том что на eth0 падает много широковещания, а tap0
>>>бегает по wi-fi и канал падает от этого широковещания.
>>
>>Ну iptables на мосту вроде никто не отменял?
>
>правила iptables будут распространять на пакеты между портами или мост-ПК?ну он даст тебе /dev/br0, и пиши к примеру -A INPUT -p TCP -s a.b.c.d --dport XX -j DROP...
Вроде давненько даже на материал нарывался в сети типа "прозрачная система обнаружения атак", там поднимался мост, на мост садили snort, и рубили че ненужно фаерволом.
я сам правда не пробовал, но идея такая.
Отпиши результат если получится.
>я сам правда не пробовал, но идея такая.
>Отпиши результат если получится.Все, завел мост и опенвпн. все работает кроме iptables.
он упорно не хочет пакеты фильтровать. мне надо отфильтровать все пакеты по мас, и пускать только один. делаю так:
iptables -A FORWARD -m mac --mac-source ! AA:AA:AA:AA:AA:AA -j DROP
и нифига - все бегает.
>[оверквотинг удален]
>>Отпиши результат если получится.
>
>Все, завел мост и опенвпн. все работает кроме iptables.
>
>он упорно не хочет пакеты фильтровать. мне надо отфильтровать все пакеты по
>мас, и пускать только один. делаю так:
>
>iptables -A FORWARD -m mac --mac-source ! AA:AA:AA:AA:AA:AA -j DROP
>
>и нифига - все бегает.все логично iptables только для ip-трафика, для фильтрации в бридже используйте ebtables
для проброса pppoe-фреймов через роутер есть pppoe-relay
>[оверквотинг удален]
>>мас, и пускать только один. делаю так:
>>
>>iptables -A FORWARD -m mac --mac-source ! AA:AA:AA:AA:AA:AA -j DROP
>>
>>и нифига - все бегает.
>
>все логично iptables только для ip-трафика, для фильтрации в бридже используйте ebtables
>
>
>для проброса pppoe-фреймов через роутер есть pppoe-relayВсе, проблема решена.
Т.к. ebtables не умеет резать arp вещание, от которого у меня wi-fi ложился - решил от него отказаться.
Проще оказалось pppoe-relay поднять и убить мост. (кстати мост нормально заработал, только не фильтровал arp)
pppoe-relay поднялся практически сразу коммандой
pppoe-relay -S eth0 -C tap0
согласно документации можно ещё так
pppoe-relay -B eth0 -B tap0при этом не забыть поднять tap0, у меня почему то он не поднимался после установки openvpn и будет Вам счастье!!!
pppoe замечательно стал бегать.
Моя проблема решена - всем спасибо.
>[оверквотинг удален]
>>Отпиши результат если получится.
>
>Все, завел мост и опенвпн. все работает кроме iptables.
>
>он упорно не хочет пакеты фильтровать. мне надо отфильтровать все пакеты по
>мас, и пускать только один. делаю так:
>
>iptables -A FORWARD -m mac --mac-source ! AA:AA:AA:AA:AA:AA -j DROP
>
>и нифига - все бегает.И про ebtables чертовски правильно сказано. Я слышал звон, но так как не пользовал - подзатерлось в памяти.