[Ninux-Calabria] ebtables

Vincenzo Pirrone linuspax a gmail.com
Sab 28 Dic 2013 13:11:48 UTC 

Il 27/12/2013 12:58, BornAgain ha scritto:
> Ciao, aggiorno Spax, e scrivo in mail così rimane salvato
> 
> la premessa è che avevo buttato giù mezza isola di reggio con un paio di
> regole di firewall :)
> 
> dopo i problemi si stanotte, un paio di tot ore sveglio e un paio di
> litri di caffè sono venuto a capo di qualcosa.
> 
> 1 . iptables -A FORWARD -o eth0 ! -d 10.89.1.0/24 -j DROP #blocca l'uso
> dell'adsl di dario  ad altri
> 
> non funziona, o meglio scavalca le eccezioni quindi nel mio caso non va
> bene (al contrario che nel nodo foglia rina)

Infatti è una regola che ha senso solo per in nodi foglia!

In effetti per questo scopo è più funzionale un approccio con tre regole:

#di default blocca il traffico di passaggio
iptables -P FORWARD DROP

# LAN = 10.x.y.z/24
# accetto traffico da ovunque diretto alla LAN
iptables -A FORWARD -d 10.x.y.0/24 -j ACCEPT [1]

#accetto traffico da LAN verso ovunque
iptables -A FORWARD -s 10.x.y.0/24 -j ACCEPT

# [esempio][opzionale] accetto traffico proveniente da nodo con subnet
10.89.2.0/24 verso ovunque
iptables -A FORWARD -s 10.89.2.0/24 -j ACCEPT

[1] nel tuo caso se vuoi bloccare l'accesso ad alcune macchine puoi
suddividere la tua LAN in due subnet da /25 e modificare la regola così

iptables -A FORWARD -d 10.89.1.128/25 -j ACCEPT

In questo modo tutti gli indirizzi minori di 10.89.1.128 non saranno
accessibili da ninux

> 
> 
> 2- nelle varie prove mi sono accorto che l'escamotage che abbiamo
> trovato l'altra volta per il blocco dei mac address non autorizzati
> almeno a livello logico verso la lan con 
> 
> #blocco mac address
> #ebtables -P FORWARD DROP
> #ebtables -A FORWARD -s <mac> -j ACCEPT
> #ebtables -A FORWARD -i eth0 -j ACCEPT
> 
> incasina il traffico dei nodi collegati sulla rocket con quelli
> collegati sull'altra antenna. in pratica se faccio un ssh da 10.89.5.1
> verso 10.89.3.1 non va
> 
> per farle comunicare devo aggiungere 
> 
> #ebtables -A FORWARD -i wlan0 -j ACCEPT

In questo modo hai annullatto l'effetto di ebtables, equivale a
commentare tutto.
è una soluzione che ti ho proposto ma non ho mai testato ne visto fare a
qualcuno, in teoria se metti una regola

ebtables -A FORWARD -s <mac> -j ACCEPT

per ogni <mac> che si collega in wifi dovrebbe funzionare.


-- 
Vincenzo Pirrone
Twitter: @spax_arm
PGP Key ID: 5CF5047D

-------------- parte successiva --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 901 bytes
Desc: OpenPGP digital signature
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20131228/088f126e/attachment.pgp>

Maggiori informazioni sulla lista Calabria