Hallo,
kann man auf einer Firewall-Bridge St.Insp. mit iptables einrichten?
Skizze über die Netzwerktopologie:
Internet <---> <--eth1| br0 | eth2--><---Switch---><---LAN--->
<---> <--eth0 mit IP-Adresse-->
Also, die bridge hat 3 Interfaceses (eth0, eth1 und eth2).
Das Interface eth0 ist direkt mit dem Internet verbunden und dort kann ich iptables mit stateful inspection einrichten. Die beiden Interfaces eth1 und eth2 sind zu br0 (bridge) ohne IP-Adresse(n) verbunden.
Die bridge fungiert sozusagen als unsichtbare Firewall.
Kann ich nun dort auch stateful inspection einrichten?
transparente bridge mit St.Insp. (iptables)
transparente bridge mit St.Insp. (iptables)
Zuletzt geändert von Duff am 14.08.2009 07:56:22, insgesamt 2-mal geändert.
Oh, yeah!
Re: transparente bridge mit stateful inspection (iptables)
ich tippe auf nein. St.Insp. läuft ab Layer 3 - eine Bridge läuft aber auf Layer 2. Da sollte nur Paket Filterung möglich sein.Duff hat geschrieben:kann man auf einer Firewall-Bridge Stateful Inspection mit iptables einrichten?
Re: transparente bridge mit stateful inspection (iptables)
Ok, danke.
Sprich ich kann "nur" die chains INPUT, FORWARD und OUTPUT verwenden. Oder nur FORWARD?
Die Optionen -i br0 und -o br0 und --physdev-in und --physdev-out gibt es auch noch, so dass ich die Interfaces definieren kann.
Sprich ich kann "nur" die chains INPUT, FORWARD und OUTPUT verwenden. Oder nur FORWARD?
Die Optionen -i br0 und -o br0 und --physdev-in und --physdev-out gibt es auch noch, so dass ich die Interfaces definieren kann.
Oh, yeah!