[Tech] Re: [Tech] MAC masquerading con iptables. Si può ?

[Aldo Podavini]

Scrive Marco Ermini <markoer@usa.net>:

> > Dunque: io vorrei cambiare il mac "in transito" da un gateway linux, 
> > proveniente da una box interna e diretto verso l'esterno.
> > Lo scopo è quello di non mostrare all'esterno i mac.
> 
> Ecco! :-)
> 
> [ ... ]
> 
> se la Linux box è un router o un bridge, è corretto che vengano
> mantenuti i MAC address altrimenti non funziona più nulla!
> 
> Quindi, cosa è che vuoi fare? vorresti forse far passare tutti i pacchetti
> della rete interna da questa Linux box, che dovrebbe "falsificare" i MAC
> address in uscita, e per i pacchetti in ingresso rimettere i MAC address
> originali? una specie di NAT per i MAC address anziché per gli IP?
> 
> Se ho capito bene, questo si chiamerebbe proxy ARP, so che viene fatto per
> il protocollo PPP e per altri casi in cui si vogliano avere più MAC address
> per una singola interfaccia (o pià indirizzi IP per un singolo MAC address),
> però francamente non so se si può fare, né ci vedo alcuna utilità: mi sembra
> solo un modo sciocco di rallentare la rete... tieni conto che lo spoofing a
> livello di transport è sì possibile, ma assai poco utile, perché
> distruggerebbe immediatamente il livello superiorre cioè quello applicativo
> (IP), quindi lo spoofer non avrebbe nulla da spoofare... è molto più utile
> (per un "hacker") lo spoofing a livello applicativo.
> 
> Se invece ho capito male spiegati meglio...
> 
> 

No, sostanzialmente hai capito bene.
Il punto è questo: io voglio frapporre una linuxbox fra una lan e il router di 
accesso a Internet, e voglio che tutti i pacchetti in uscita dai pc della lan 
vengano mascherati come provenienti dalla linuxbox, sia a livello di IP clla!
> 
> Quindi, cosa è che vuoi fare? vorresti forse far passare tutti i pacchetti
> della rete interna da questa Linux box, che dovrebbe "falsificare" i MAC
> address in uscita, e per i pacchetti in ingresso rimettere i MAC address
> originali? una specie di NAT per i MAC address anziché per gli IP?
> 
> Se ho capito bene, questo si chiamerebbe proxy ARP, so che viene fatto per
> il protocollo PPP e per altri casi in cui si vogliano avere più MAC address
> per una singola interfaccia (o pià indirizzi IP per un singolo MAC address),
> però francamente non so se si può fare, né ci vedo alcuna utilità: mi sembra
> solo un modo sciocco di rallentare la rete... tieni conto che lo spoofing a
> livello di transport è sì possibile, ma assai poco utile, perché
> distruggerebbe immediatamente il livello superiorre cioè quello applicativo
> (IP), quindi lo spoofer non avrebbe nulla da spoofare... è molto più utile
> (per un "hacker") lo spoofing a livello applicativo.
> 
> Se invece ho capito male spiegati meglio...
> 
> 

No, sostanzialmente hai capito bene.
Il punto è questo: io voglio frapporre una linuxbox fra una lan e il router di 
accesso a Internet, e voglio che tutti i pacchetti in uscita dai pc della lan 
vengano mascherati come provenienti dalla linuxbox, sia a livello di IP che di 
MAC.
Ossia, come +o- giustamente scrivi,  una spehe di 
MAC.
Ossia, come +o- giustamente scrivi,  una specie di NAT per i MAC address 
*oltre* che per gli IP.
D'altra parte credo (correggimi se sbaglio) che la linuxbox-gateway non 
dovrebbe avere difficoltà a rimettere a posto i MAC in ingresso, poichè la 
connessione è stabilita a livello di IP/porta.

La finalità: io voglio che il router non sappia quali e quante macchine stanno 
dietro la linuxbox.

Ciao
Aldo


-------------------------------------------------
This mail sent through IMP: http://horde.org/imp/