[Tech] Re: [Tech] MAC masquerading con iptables. Si può ?

Marco Ermini markoer@usa.net
Gio 18 Dic 2003 18:37:28 CET 

On Thu, 18 Dec 2003 14:28:09 +0100, Aldo Podavini <a.podavini@ldvsrl.it>
wrote:

[...]
> Il punto è questo: io voglio frapporre una linuxbox fra una lan e il
> router di accesso a Internet, e voglio che tutti i pacchetti in uscita dai
> pc della lan vengano mascherati come provenienti dalla linuxbox, sia a
> livello di IP che di MAC.
[...]
> Ossia, come +o- giustamente scrivi,  una specie di NAT per i MAC address 
> *oltre* che per gli IP.
> D'altra parte credo (correggimi se sbaglio) che la linuxbox-gateway non 
> dovrebbe avere difficoltà a rimettere a posto i MAC in ingresso, poichè la
> 
> connessione è stabilita a livello di IP/porta.
> 
> La finalità: io voglio che il router non sappia quali e quante macchine
> stanno dietro la linuxbox.
[...]

Ti ha risposto correttamente Alessio. Dal momento in cui cambi subnet IP, i
mac address non si propagano, a meno che tu non utilizzi esplicitamente la
linux box con due schede di rete per funzionare da bridge - e comunque il
presupposto perché un bridge esista è che ci siano due subnet fisicamente
separate ma logicamente uguali... per il protocollo IP, se cambi subnet
logica necessiti automaticamente di un router, questo proprio perché i MAC
address non si propagano, e c'è bisogno di un router che mantenga in cache
la relazione tra IP e MAC.

Per capirci:

192.168.61.0/24 -------> (eth0) Linux box (eth1) -------> 192.168.61.0/24

in questo caso la Linux box deve essere configurata come bridge per
interfacciare due reti equipollenti ma fisicamente separate: i MAC address
vengono propagati. Non sono necessarie esplicite funzionalità di routing a
livello di protocollo IP.


192.168.61.0/24 -------> (eth0) Linux box (eth1) -------> 192.168.44.0/24

in questo caso la Linux box deve fungere da router; le due interfacce
tengono nella cache ARP la relazione IP/MAC address; i MAC address su eth0
NON vengono mischiati con quelli sulla eth1 (o non dovrebbero, normalmente).
Chi sta su una delle due subnet NON vede i MAC dell'altra, quindi NON ti
devi preoccupare di filtrarli.

Se poi il problema è l'interfaccia ethernet che si connette alla rete
ADSL... la cosa è ancora più netta:


<< Internet >> -------> (eth0) Linux box (eth1) -------> 192.168.44.0/24

la Linux box deve fare NAT oppure offrire dei proxy per specifici
servizi, in ogni caso chi proviene da Internet non vedrà mai altro che la
eth0 e l'IP assegnato all'interfaccia PPP - quindi non solo non vede i MAC
address, ma grazie al NAT, non vede nemmeno gli IP della subnet privata.

Spero che adesso sia chiaro... secondo me non devi fare proprio nulla :-)


ciao
-- 
Marco Ermini
http://macchi.markoer.org - ICQ 50825709 - GPG KEY 0x64ABF7C6 - L.U. #180221
Perche' perdere tempo ad imparare quando l'ignoranza e' istantanea? (Hobbes)
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: non disponibile
URL:         <http://lists.linux.it/pipermail/flug-tech/attachments/20031218/70dc751d/attachment.pgp>

Maggiori informazioni sulla lista flug-tech