[Ninux-Calabria] ebtables

BornAgain bornagain a autoproduzioni.net
Sab 28 Dic 2013 18:00:12 CET 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


Il giorno 28/dic/2013, alle ore 14.11, Vincenzo Pirrone ha scritto:

> Il 27/12/2013 12:58, BornAgain ha scritto:
>> Ciao, aggiorno Spax, e scrivo in mail così rimane salvato
>> 
>> la premessa è che avevo buttato giù mezza isola di reggio con un paio di
>> regole di firewall :)
>> 
>> dopo i problemi si stanotte, un paio di tot ore sveglio e un paio di
>> litri di caffè sono venuto a capo di qualcosa.
>> 
>> 1 . iptables -A FORWARD -o eth0 ! -d 10.89.1.0/24 -j DROP #blocca l'uso
>> dell'adsl di dario  ad altri
>> 
>> non funziona, o meglio scavalca le eccezioni quindi nel mio caso non va
>> bene (al contrario che nel nodo foglia rina)
> 
> Infatti è una regola che ha senso solo per in nodi foglia!
> 
> In effetti per questo scopo è più funzionale un approccio con tre regole:
> 
> #di default blocca il traffico di passaggio
> iptables -P FORWARD DROP
> 
> # LAN = 10.x.y.z/24
> # accetto traffico da ovunque diretto alla LAN
> iptables -A FORWARD -d 10.x.y.0/24 -j ACCEPT [1]
> 
> #accetto traffico da LAN verso ovunque
> iptables -A FORWARD -s 10.x.y.0/24 -j ACCEPT
> 
> # [esempio][opzionale] accetto traffico proveniente da nodo con subnet
> 10.89.2.0/24 verso ovunque
> iptables -A FORWARD -s 10.89.2.0/24 -j ACCEPT
> 
> [1] nel tuo caso se vuoi bloccare l'accesso ad alcune macchine puoi
> suddividere la tua LAN in due subnet da /25 e modificare la regola così
> 
> iptables -A FORWARD -d 10.89.1.128/25 -j ACCEPT
> 
> In questo modo tutti gli indirizzi minori di 10.89.1.128 non saranno
> accessibili da ninux
> 
>> 
>> 
>> 2- nelle varie prove mi sono accorto che l'escamotage che abbiamo
>> trovato l'altra volta per il blocco dei mac address non autorizzati
>> almeno a livello logico verso la lan con 
>> 
>> #blocco mac address
>> #ebtables -P FORWARD DROP
>> #ebtables -A FORWARD -s <mac> -j ACCEPT
>> #ebtables -A FORWARD -i eth0 -j ACCEPT
>> 
>> incasina il traffico dei nodi collegati sulla rocket con quelli
>> collegati sull'altra antenna. in pratica se faccio un ssh da 10.89.5.1
>> verso 10.89.3.1 non va
>> 
>> per farle comunicare devo aggiungere 
>> 
>> #ebtables -A FORWARD -i wlan0 -j ACCEPT
> 
> In questo modo hai annullatto l'effetto di ebtables, equivale a
> commentare tutto.
> è una soluzione che ti ho proposto ma non ho mai testato ne visto fare a
> qualcuno, in teoria se metti una regola

nono è commentato perchè già l'avevo disabilitata quando poi ho copiato il testo nella mail 

sisi # che commenta fino qui ci arrivo :)

> 
> ebtables -A FORWARD -s <mac> -j ACCEPT
> 
> per ogni <mac> che si collega in wifi dovrebbe funzionare.
> 
> 
> -- 
> Vincenzo Pirrone
> Twitter: @spax_arm
> PGP Key ID: 5CF5047D
> 
> _______________________________________________
> Calabria mailing list
> Calabria a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/calabria

-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.22 (Darwin)
Comment: GPGTools - https://gpgtools.org

iQEcBAEBCgAGBQJSvwOjAAoJED47xTEp3BoDpmcH+wWcZtcqjngPbs7d+scxYxTE
CFS+qckDHJ+q/TLpys1TGZ8xgFukfQj0WMykC/QvZvZ7euO1kzGJ4+0lKrh9esl2
vW6ZQ+qZ8YWtrowBd6ESj8bPiuQhkACRIl/im/Pw/NcuZXb93JgTNT6O9j0Yf1En
kfdIe2jPuBOHCwTS8jbZ3PHmYzurplH1QsaGEiLB20+nuoiF1AtJQZi0gZnuQY4k
wZIBn6QcfTP3OC2lUdbtHcyuhXSHrXl7386/xitBX/AdwkbJ//6A4YyLccmhlAb6
4X3R9XER5lLZxnkPGivIvC/OymLa60gtyBBYqWA6us+v/c0ysAS+LM3Mh2nZF2E=
=O+Up
-----END PGP SIGNATURE-----

Maggiori informazioni sulla lista Calabria