[Tech] Re: [Tech] MAC masquerading con iptables. Si può ?

Marco Ermini markoer@usa.net
Gio 18 Dic 2003 13:32:49 CET 

On Thu, 18 Dec 2003 11:39:26 +0100, Aldo Podavini <a.podavini@mclink.it>
wrote:

> Marco Ermini wrote:
> 
> >>Ciao a tutti.
> >>E' possibile modificare (SNAT) il MAC address dei pacchetti ?
> >>    
> >>
> >
> >Il MAC di quale interfaccia? la tua o quella degli altri? a che scopo?
> 
> Dunque: io vorrei cambiare il mac "in transito" da un gateway linux, 
> proveniente da una box interna e diretto verso l'esterno.
> Lo scopo è quello di non mostrare all'esterno i mac.

Ecco! :-)

Il fatto che dall'"esterno", come lo definisci tu, si possano vedere i MAC
address della rete interna, dipende da come hai configurato il gateway: dato
che se fai NAT sicuramente i MAC non vengono conservati (tutti i pacchetti
faranno riferimento all'interfaccia che fa NAT), quindi la Linux box è
sicuramente in bridging oppure funge da router.

Il discorso è questo: pur non avendo capito le tue intenzioni fino in fondo,
sicuramente stai cercando il modo non corretto per fare quello che vuoi fare
:-)

Mi spiego: se la Linux box è un router o un bridge, è corretto che vengano
mantenuti i MAC address altrimenti non funziona più nulla!

Quindi, cosa è che vuoi fare? vorresti forse far passare tutti i pacchetti
della rete interna da questa Linux box, che dovrebbe "falsificare" i MAC
address in uscita, e per i pacchetti in ingresso rimettere i MAC address
originali? una specie di NAT per i MAC address anziché per gli IP?

Se ho capito bene, questo si chiamerebbe proxy ARP, so che viene fatto per
il protocollo PPP e per altri casi in cui si vogliano avere più MAC address
per una singola interfaccia (o pià indirizzi IP per un singolo MAC address),
però francamente non so se si può fare, né ci vedo alcuna utilità: mi sembra
solo un modo sciocco di rallentare la rete... tieni conto che lo spoofing a
livello di transport è sì possibile, ma assai poco utile, perché
distruggerebbe immediatamente il livello superiorre cioè quello applicativo
(IP), quindi lo spoofer non avrebbe nulla da spoofare... è molto più utile
(per un "hacker") lo spoofing a livello applicativo.

Se invece ho capito male spiegati meglio...


ciao
-- 
Marco Ermini
http://macchi.markoer.org - ICQ 50825709 - GPG KEY 0x64ABF7C6 - L.U. #180221
Perche' perdere tempo ad imparare quando l'ignoranza e' istantanea? (Hobbes)
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: non disponibile
URL:         <http://lists.linux.it/pipermail/flug-tech/attachments/20031218/f3ca6f56/attachment.pgp>

Maggiori informazioni sulla lista flug-tech