bridge mode'da calisan bir cihazda iptables ile paket drop'lamak

[di]

Selam,

Ustunde bir nevi busybox calisan bir antende belli IP kaynaklarindan gelen paketleri drop'lamak istiyorum fakat bu nane bridge mode'da calistigindan -emin degilim ama oyle var sayiyorum- iptables'a girdigim kurallar islemiyor.

Daha once benzer islerle ugrasanlar varsa bi el atsinlar bi zahmet. Durumcuye kadar yolumuz var o kadar diim. =P

[di]

:'(

[aquila]

bride modeda kaldim ben.

[di]

Eheh. Bridge o bridge. Eksik kalmis azcik.

[Mr_Hand]

bilaæ 2 günlük linuz bilgimle hemen bişey soriim :)

forward chaininde kural yazıyosun di mi?

[kozalak]

abi bridge mod olarak çalışan şeyde yazdığın kurallar işlemez çünkü o bir nevi gelene geç modundadır. sadece paketleri görür ama müdahele etmez/edemez.
cihazdan önce ya da sonra ilgili yerde kurallar yazman gerek.

[di]

Mantiken edebilmem lazim cunku bridge dedigimiz sey bir sanal interface ve benim cihazimda br0 ne diye baktigimda ( brctl show ) eth0 ve ath0'i kopruleyen interface oldugunu goruyorum. eth0 antenden asagi switch'lere inen kablonun interface'i, ath0 da diger antenden veri alan wireless interface.

Haliyle eth0 ustunden gecen veriyi iptables ile kontrol edebilirim diye dusunuyorum. Lakin yapamiyorum.

[Kharon]

@kozalak

o zaman bridge kullanmanin cok bi mantigi kalmaz ki? Olay zaten secici gecirgenlik saglamak. O konuda bi problem oldugu zannetmiyorum acikcasi.

tabi cihazdan cihaza, platforma gore degisiyor kurallarin isleyisi o ayri.

@di
problem bence bridge level2 bi arayuz oldugu icin datalink uzerinden sadece mac spesifik calistigi icin kaynaklaniyor. ip ye gore referans verip paket droplaman icin baska bi fikir dusunmek lazim gibi geldi.

veya kozalak in oncesinde dedigi gibi bridge in onundeki router dan belli bi yonlendirme yaparsin, o yonlendirme yapilan mac dan droplarsin paketleri gibi fantastik ve verimsiz bi method sallayabilirim.

[kozalak]

abi sarhoş sarhoş yazdım.
haklısın sanırım :D

di,
bazen kuralların sırası etkileyebiliyor. kuralların sıralamasına da dikkat et. misal ilk kuralında a b ve c den gelen paketlere izin ver deyip 2. kuralında c den gelen paketi engelle dersen engelleme yapmaz. gerçi bunu biliyosundur sen diye düşünüyorum.

[sharky]

bridged mode da da iptables sorunsuz calisiyor, vaktinde denemistim. Sonucta o da native bir interface ve diger interface ler uzerinde iptables ta ne yapabiliyorsan onda da yapabiliyorsun.

Cok yuksek ihtimal biseyleri kaciriyorsundur rulesetlerinde. default'u bir limit falan eklemeden loga yazdir bakalim, belki problem anlasilir.

Bu arada FORWARD table ini falan denesene bir. Onda sanki biseyler yapmistim da sonradan baska bir chain de hallettim gibi hatirladim bir an. Cok onceydi :(

[di]

Ilginctir netstat ile baktigimda client'larin IP'lerini goremezken tcpdump ile baktigimda catir cutur goruyorum gecen paketleri. Paketleri gordugumden iptables da her sekilde calisir gibime geliyor.

ebtables'a bakiyorum simdi. Dun gormustum, ustune Kharon yollamis gtalk'dan. O da iptables'in bridge icin olani sanirim ama syntax'i degisik azcik meretin.

Akliniza bir sey gelirse yazin yine anacim.

[di]

OH YES! Oldu galiba.

Yalniz test icin blokladigim user anama avradima sovuyodur simdi. Bayagi saglam download'u vardi cunku. ehah.

[Kharon]

repleri topluyormuyum simdi

[sharky]

netstat 'tan goremeyebilirsin cunku sana established olmus bir connection degil o. Forwarded bir connection muhtemelen.

[di]

Yoo, ben senden once bulmustum onu. Yalniz genel olarak ise yararsa bu meret extra 40 layer 2 switch almaktan kurtarmis oluyoruz sirketi. Haliyle hani nerde primim derim. Verirlerse yeriz o parayi. =P

[di]

sharky said:

netstat 'tan goremeyebilirsin cunku sana established olmus bir connection degil o. Forwarded bir connection muhtemelen.

Eheh evet cok mantikli geldi simdi. Hatta "gerizekali niye dusunmedin ayni seyi" dedim bi kendime.

[Kharon]

ucarim istanbula np. islak hamburger aseriyordum ztn.

[di]

Ahah onun icin prime gerek yok abi, atla gel ben maasi alinca.

[Kharon]

adam ucuza yatti.