Søg
Avatar billede langbein Nybegynder
26. september 2004 - 19:11 Der er 28 kommentarer og
1 løsning

Utvikle/opprette Linux brige/bridge firewall.

Hei !

Jeg la tidligere ut et spørsmål om det var noen som hadde praktiske erfaringer med dette. Det kom ingen svar.

Altså så snues del litt på spørsmålet - Hvem ønsker å bli med på å "utvikle" eller sette opp en Linux bridge og/eller en bridge firewall eller å framskaffe nødvendige opplysninger i forbindelse med dette ?

Etter hvert som det kommer fram kunnskaper, linker eller videre erfaringer med dette så kan jo dette legges inn i dette spørsmålet, slik at denne informasjontråden kan bygges opp mot det som forrhåpentligvis kan ende opp som en ferdig Linux bridging firewall.

Hvorfor Linux bridge firewall ? - Jo "vanlige" Linux firewalls fitrerer jo trafikken mellom ulike nettverkssegmenter. Man kombinerer en routerfunksjon med en firewall funksjon. Hvis man skal sette en firewall i et eksisterende lan eller forran et antall servere, så ender man ofte opp med å måtte rekonfigurere ip på en hel del maskiner. Dette kan skape en del problemer. Dersom man i stedet setter opp en "bridging firewall" så vil dette ikke gripe inn i adresseringen med ip adresse fordi bridge firewall jobber ut i fra mac adresser i stedet for ip. På denne måten så skal det i prinsipp være mulig å sette en "bridging" firewall inn i et nettverk uten å endre på en ensete ip.

Tidligere så støttet ikke Linux kernel dette annet enn at man kunne sette seg ned å reprogrammere visse kernelmoduller selv. Det fantes howto's for dette.

I dag så skal dette støttes som standard i kernel 2.6.x og som nedlastbar standard mod for kernel 2.4.x

Litt info:

http://bridge.sourceforge.net/

http://ebtables.sourceforge.net/

Points deles ut ut på basis av bidrag fram mot en ferdig løsning.

Det er selvfølgelig fritt fram å legge ut nye underspørsmål som kan bidra til "sakens oppklaring".

MVH Langbein.
Avatar billede lap Nybegynder
26. september 2004 - 20:49 #1
jeg deltager naturligvis gerne med den tid, som jeg har til rådighed - ikke altid så meget som jeg kunne ønske.
Avatar billede langbein Nybegynder
26. september 2004 - 22:28 #2
lap -> Veldig bra hvis du har litt tid !!
Her en link til: http://edeca.net/articles/bridging/umlbridging.pdf

Har installert fedora 2 med stort set alle moduler. brctl kommer opp å kjøre, men ikke ebtables. Den sier bare "command not found"

Forsøkte med en "modprobe ebtables". Ser ut som om den finner en modul. Det kommer ingen feilmelding.

Spørsmål: "ebtables" virker tilsynelatende ikke som kommando, hvorfor ikke det ?

uname -a -> Kernel 2.6.5-1.358

Skulle den ikke være inkludert ? På de tidlige utgavene av iptables så disablet redhat iptables slik at man måtte rote en del med konfig filer for å få det til å kjøre. Kan det være noe slikt denne gangen også ??
Avatar billede langbein Nybegynder
26. september 2004 - 22:47 #3
Ser ut til å være ett og annet interessant her:
http://linux-ip.net/html/
Avatar billede langbein Nybegynder
26. september 2004 - 22:49 #4
http://linux-ip.net/
Avatar billede langbein Nybegynder
26. september 2004 - 22:51 #5
http://www.fedchik.org.ua/linux/ebtables/ebtables-faq.html
Avatar billede langbein Nybegynder
26. september 2004 - 22:54 #6
Fra linken over:

The ebtables package contains the ebtables userspace tool. This ebtables binary is used to make filtering rules for the Linux-based Ethernet bridge.

Kan det være slik at 2.6 kernel har støtte men at Fedora Core 2 mangler denne "userspace" ?? Den finner tilsynelatende ingen eksekverbar fil når man søker "locate ebtables".
Avatar billede langbein Nybegynder
26. september 2004 - 22:58 #7
rpm -q ebtables

package ebtables is not installed  ??????????
Avatar billede langbein Nybegynder
26. september 2004 - 23:07 #8
Kjører man locate "iptables" så finner den noe som likner på en eksekverbar fil. Det samme gjelder dersom man kjører locate "brctl". Da finner den også en eksekverbar fil.

Mener å ha lest at en bridge i motsetning til hos tildligere Linux kernels nå kjører trafikken som følge av bridging via iptables i stedet for å bypasse slik som før.

Kan det være slik at det finnes to måter å filtrere bridging trafic på, enten på et bridge nivå via ebtables eller via et ip nivå via iptables og at iptables rules nå filttrerer trafikken som default ved at trafikken som default "sendes ett nivå opp" ?

Kan det være slik at "riktig" eller mest mulig hensiktsmessig filtrering fortsatt er via iptables også for en bridge og filtrering direkte på bridge nivå via ebtables er en alternativ måte å gjøre tingene på, slik at man godt kan sette opp en bridging firewall uten ved bruk av ebtables ??
Avatar billede langbein Nybegynder
26. september 2004 - 23:18 #9
http://www.lug.udel.edu/articles/firewall-bridge/bridge.html
Avatar billede langbein Nybegynder
26. september 2004 - 23:21 #10
Denne ser meget bra ut:
http://www.linuxsecure.de/index.php?action=90#whatis_bridgefwebtables
Avatar billede langbein Nybegynder
26. september 2004 - 23:26 #11
Litt "off topic" men meget bra forklaring av iptables:
http://www.linuxsecure.de/index.php?action=31
Avatar billede langbein Nybegynder
26. september 2004 - 23:27 #12
http://www.securityfocus.com/printable/infocus/1737
Avatar billede langbein Nybegynder
26. september 2004 - 23:35 #13
Ikke helt ny men intererressant:
http://www.csse.uwa.edu.au/~ryan/tech/bridging_firewall.html
Avatar billede langbein Nybegynder
26. september 2004 - 23:38 #14
http://www.wntrmute.com/presentations/bridgingfirewall.html
Avatar billede langbein Nybegynder
26. september 2004 - 23:40 #15
http://davidcoulson.net/writing/pcp/195/masterclass-linuxexpert.pdf
Avatar billede langbein Nybegynder
26. september 2004 - 23:54 #16
Mesteparten litt "off topic" men allikevell veldig mye interessant:
http://www.ece.auckland.ac.nz/~p4p_2004/archive/reports2003/pdfs/p79_sgra070.pdf
Avatar billede langbein Nybegynder
27. september 2004 - 00:05 #17
http://www.shorewall.net/SimpleBridge.html
Avatar billede langbein Nybegynder
27. september 2004 - 00:11 #18
Her ser det ut som om prinsippet med å filtrere broen ved hjelp av konvensjonelle iptables regler i stedet for ebtables er i bruk:
http://linuxgazette.net/issue76/whitmarsh.html
http://linuxgazette.net/issue76/misc/whitmarsh/rc.firewall.sh.txt
Avatar billede langbein Nybegynder
27. september 2004 - 00:14 #19
Ebtables for fedora, rpm's
http://dag.wieers.com/packages/ebtables/
Avatar billede langbein Nybegynder
27. september 2004 - 00:17 #20
http://www.webamoeba.co.uk/index2.php?option=content&task=view&id=24&pop=1&page=0
Avatar billede langbein Nybegynder
27. september 2004 - 00:27 #21
Latet ned rpm for fedora Core 2 fra weiers.com og installerte denne.

Nå virker kommandoene både i forholt til iptables (konfigurering av Netfilter firewall), brcfg (Opprette og konfigurere bridge) og ebtables (Implementere firewall rules direkte nede på link layer.)

Arbeidshypotese: Det finnes to alternative måter å konfigurere en Linux bridge firewall på. Man kan enten komnfigurere til at filtreringen skjer direkte nede på link layer (ebtables), eller man kan la trafikken bevege seg et nivå opp slik at filtreringen kan skje ved hjelp av iptables.

Ønsker å forsøke å få til begge deler .. og så sammenlikne litt ..
Avatar billede langbein Nybegynder
27. september 2004 - 00:31 #22
Ellers, status:

rpm -q ebtables

ebtables-2.0.6-2.1.fc2.dag
Avatar billede strych9 Praktikant
27. september 2004 - 00:35 #23
jow, der er et userspace util der hedder ebtables. Du skal selvfølgelig installere ebtables pakken. Tag eventuelt den fra http://sourceforge.net/projects/ebtables/ og læs den tilhørende man side.
Avatar billede langbein Nybegynder
27. september 2004 - 05:58 #24
Jo, det stemmer nok det. Ser Fedora Core 2 har en RPM som heter "bridge-utils" og en som heter "bridge-utils-develop". "ebtables" må event installeres som "ekstrautstyr".
Avatar billede strych9 Praktikant
27. september 2004 - 09:01 #25
Jeg troede bare at bridge-utils var brctl??

Jeg lavede en transparent bridge engang mellem ethernet og et wireless interface. Det var ikke så svært. Men jeg kan nu ikke se hvorledes iptables skulle kunne indsættes mellem de to bridgede segmenter. Egentlig får man bare maskinen til at opfatte 2 interfaces som 1 med brctl..
Avatar billede langbein Nybegynder
27. september 2004 - 16:13 #26
"Jeg troede bare at bridge-utils var brctl??" Vet ikke sikkert men det virker sannsynlig.

"Men jeg kan nu ikke se hvorledes iptables skulle kunne indsættes mellem de to bridgede segmenter." Har ikke kommet så langt at jeg har funnet ut av det, men lurer på om ikke kernel nå, i motsetning til tidligere fungerer slik at den sender trafikken fra broen og via iptables/netfilter som default (kernel 2.6.x). Vil forsøke å teste litt for å finne ut om det er slik. Alternativt og uansett, så tror jeg at det er slik at man både kan filtrere og styre "datastrømmens videre ferd" ved hjelp av syntaks kommandoer i ebtables.
Avatar billede langbein Nybegynder
27. september 2004 - 23:22 #27
Så var den tilsynelatende på plass.

Ganske fikst å bare kunne plugge inn en hardware firewall uten å konfigurere om en eneste maskin. Man merker ikke at den er det med unntak av den filtering den måtte bli satt til å utføre.

Satte den opp med 0 ip på begge sider slik at den faktisk blir usynlig på nettverket.

Det behøves sånn sett ingen utdypende forklaring fordi den ene guide som jeg fant på nett faktisk inneholdt hele forklaringen. Forandret vel faktisk ikke på noe.

http://www.csse.uwa.edu.au/~ryan/tech/bridging_firewall.html

Det viste seg ellers at det var riktig at trafikken blir sendt default gjennom netfilter slik som forventet. Følgelig så kan iptables også brukes ved en bridging firewall.

Man behøver sånn sett ikke ebtables, denne kan vel nærmest betraktes som en option for spesielle formål (protokoller som ikke er kompatible med iptables/netfilter og som behøver å få filtreringen utført på et lavere nivå.)
Avatar billede langbein Nybegynder
27. september 2004 - 23:56 #28
Synes ellers denne inneholder en del sentrale prinsipper omkring den praktiske bruk:
http://www.securityfocus.com/printable/infocus/1737
Avatar billede langbein Nybegynder
02. oktober 2004 - 14:13 #29
.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
htaccess virker ikke på Ubuntu Server Af Strawberry i Linux 1 03/01/202621:50 04/01/202615:33
squid server på en ubuntu 25.10 server Af dcedata1977 i Linux 6 15/12/202514:45 21/12/202517:52
Chromium Netbrowser har Yahoo - Kan jeg skifte til Google ? Hvordan Af Ikke-ekspert i Linux 2 04/10/202518:24 05/10/202511:32
Debian - Map drev/folder på AS400 V4R4 Af ingeman i Linux 7 08/09/202515:27 10/09/202512:18
Windows server 2025 Datacenter Af ingeman i Linux 9 02/09/202509:00 02/09/202513:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 13:59 2 skærme til en stationær computer Af BIRGER i Skærme
I går 19:26 Opstart af ny computer Af Bent i Windows
25/0120:06 Hjemmeside der virker både på mobil og computer Af Strawberry i PHP
25/0117:08 Problemer med borger.dk Af valby i Windows
25/0114:19 Fejl Af buls i Windows
White papers
Flere white papers »