[Tech] Re: [Tech] Re: [Tech] MAC masquerading con iptables. Si può ?

Ven 19 Dic 2003 11:29:49 CET

Ringrazio sia Alessio che Marco per le spiegazioni estremamente precise 
ed esaurienti.
In effetti mi mancava un dettaglio: che in modalità bridge il MAC si 
propaga, mentre in modalità router (i.e.: quando le subnet cambiano) il 
MAC non si propaga .
Non ho ancora verificato, ma vi credo sulla parola.
Effettivamente la risposta al mi problema è banalmente: basta che la 
rete interna abbia una subnet diversa rispetto al router impiccione:

(192.168.1.0/24) LAN ---------< (eth0: 192.168.1.100) linuxbox (eth1: 
192.168.100.100)------------- ROUTER (192.168.100.254)

Giusto ?

A questo punto mi sorgono un altro paio di domande:
1) per impostare la modalità bridge occorrono le bridge-utils (ossia il 
comando brctl ?)
2) quando parli di proxy ARP ti riferisci a ebtables (che a quanto mi 
consta dovrebbe essere nativo nel 2.6) ?

Ciao
Grazie ancora

Aldo

Marco Ermini wrote:

>On Thu, 18 Dec 2003 14:28:09 +0100, Aldo Podavini <a.podavini@ldvsrl.it>
>wrote:
>
>[...]
>  
>
>>Il punto è questo: io voglio frapporre una linuxbox fra una lan e il
>>router di accesso a Internet, e voglio che tutti i pacchetti in uscita dai
>>pc della lan vengano mascherati come provenienti dalla linuxbox, sia a
>>livello di IP che di MAC.
>>    
>>
>[...]
>  
>
>>Ossia, come +o- giustamente scrivi,  una specie di NAT per i MAC address 
>>*oltre* che per gli IP.
>>D'altra parte credo (correggimi se sbaglio) che la linuxbox-gateway non 
>>dovrebbe avere difficoltà a rimettere a posto i MAC in ingresso, poichè la
>>
>>connessione è stabilita a livello di IP/porta.
>>
>>La finalità: io voglio che il router non sappia quali e quante macchine
>>stanno dietro la linuxbox.
>>    
>>
>[...]
>
>Ti ha risposto correttamente Alessio. Dal momento in cui cambi subnet IP, i
>mac address non si propagano, a meno che tu non utilizzi esplicitamente la
>linux box con due schede di rete per funzionare da bridge - e comunque il
>presupposto perché un bridge esista è che ci siano due subnet fisicamente
>separate ma logicamente uguali... per il protocollo IP, se cambi subnet
>logica necessiti automaticamente di un router, questo proprio perché i MAC
>address non si propagano, e c'è bisogno di un router che mantenga in cache
>la relazione tra IP e MAC.
>
>Per capirci:
>
>192.168.61.0/24 -------> (eth0) Linux box (eth1) -------> 192.168.61.0/24
>
>in questo caso la Linux box deve essere configurata come bridge per
>interfacciare due reti equipollenti ma fisicamente separate: i MAC address
>vengono propagati. Non sono necessarie esplicite funzionalità di routing a
>livello di protocollo IP.
>
>
>192.168.61.0/24 -------> (eth0) Linux box (eth1) -------> 192.168.44.0/24
>
>in questo caso la Linux box deve fungere da router; le due interfacce
>tengono nella cache ARP la relazione IP/MAC address; i MAC address su eth0
>NON vengono mischiati con quelli sulla eth1 (o non dovrebbero, normalmente).
>Chi sta su una delle due subnet NON vede i MAC dell'altra, quindi NON ti
>devi preoccupare di filtrarli.
>
>Se poi il problema è l'interfaccia ethernet che si connette alla rete
>ADSL... la cosa è ancora più netta:
>
>
><< Internet >> -------> (eth0) Linux box (eth1) -------> 192.168.44.0/24
>
>la Linux box deve fare NAT oppure offrire dei proxy per specifici
>servizi, in ogni caso chi proviene da Internet non vedrà mai altro che la
>eth0 e l'IP assegnato all'interfaccia PPP - quindi non solo non vede i MAC
>address, ma grazie al NAT, non vede nemmeno gli IP della subnet privata.
>
>Spero che adesso sia chiaro... secondo me non devi fare proprio nulla :-)
>
>
>ciao
>  
>