duda con iptables
Miguel Oyarzo O.
admin en aim.cl
Jue Oct 21 17:28:01 CLST 2010
El 21-10-2010 17:07, Aldrin Martoq escribió:
> On Oct 21, 2010, at 4:22 PM, Miguel Oyarzo O. wrote:
>> A raiz de eso mismo me sale la duda
>> Si la interfaz da "lo mismo", entonces por que razon al realizar este ensayo:
>>
>> LAN1--(router)-->eth0----FW/Linux
>> LAN2--(router)-->eth0---|
>>
>> .. FORWARD -i eth0 -s LAN1 -d LAN2 -j DROP (no bloquea)
>> pero desde luego si funciona (bloqueando):
>> LAN1--(router)-->eth0--FW/Linux-eth1-(router)-->LAN2
>> En este caso el kernel rutea bien los paquetes entre LAN1 y LAN2, pero no logro que FORWARD DROP trabaje bien si los paquetes son forwarded entre ambas LANs usando la misma Interfaz como entrada y salida.
>
> Lo acabo de probar y funciona perfecto tanto con/sin nat
>
> # iptables -nL FORWARD -v
> Chain FORWARD (policy ACCEPT 1348K packets, 539M bytes)
> pkts bytes target prot opt in out source destination
> 13 1092 DROP all -- br0 * 192.168.1.0/24 172.16.26.0/24
>
>
>> Que opinas?
>
> No sé, yo pondría tcpdump en los 3 equipos (red1, router, red2) para ver qué sucede realmente.
> Aldrin Martoq
> http://aldrin.martoq.cl/
No estoy seguro si es lo mismo, en tu ejemplo muestra una
interfaz/bridge (br0).
En tu caso tu interfaz es transparente entre 2 LANs y tienes capacidad
de filtrado entre ambas, pero no de ruteo, es decir, no eres gateway de
ninguna (incluso podrias cambiar tu br0(IP) y tu topologia ni lo notaría.
En mi ejemplo yo uso ethX y soy gateway para ambos routers del ejemplo.
=====================================
Miguel A. Oyarzo O.
Ingeniería en Redes y Telecomunicaciones
Austro Internet S.A. & INALAMBRICA S.A.
Teléfono: [+05661] 710030
Punta Arenas - Chile
Linux User: # 483188 - counter.li.org
=====================================
Más información sobre la lista de distribución Linux