https://www.opennet.ru/openforum/vsluhforumID1/77959.html Добрый день!<br><br>Есть два интерфейса eth0 и tap0.<br>за eth0 сидит pppoe сервер через который выход в инет<br>а на tap0 вешаются клиенты openvpn<br><br>Надо с eth0 на tap0 перекинуть только pppoe, все остальное порезать (мас сервера известен<br>)<br><br>стоит linux debian.<br><br>можно было бы сделать мост, но тогда он все будет пересылать.<br>А проблема в том что на eth0 падает много широковещания, а tap0 бегает по wi-fi и канал падает от этого широковещания.<br> https://www.opennet.ru/openforum/vsluhforumID1/77959.html#8 Tue, 25 Dec 2007 16:26:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;мас, и пускать только один. делаю так: <br>&gt;&gt;<br>&gt;&gt;iptables -A FORWARD -m mac --mac-source ! AA:AA:AA:AA:AA:AA -j DROP <br>&gt;&gt;<br>&gt;&gt;и нифига - все бегает. <br>&gt;<br>&gt;все логично iptables только для ip-трафика, для фильтрации в бридже используйте ebtables <br>&gt;<br>&gt;<br>&gt;для проброса pppoe-фреймов через роутер есть pppoe-relay <br><br>Все, проблема решена.<br><br>Т.к. ebtables не умеет резать arp вещание, от которого у меня wi-fi ложился - решил от него отказаться.<br><br>Проще оказалось pppoe-relay поднять и убить мост. (кстати мост нормально заработал, только не фильтровал arp)<br><br>pppoe-relay поднялся практически сразу коммандой <br><br>pppoe-relay -S eth0 -C tap0<br><br>согласно документации можно ещё так<br>pppoe-relay -B eth0 -B tap0<br><br>при этом не забыть поднять tap0, у меня почему то он не поднимался после установки openvpn и будет Вам счастье!!!<br><br>pppoe замечательно стал бегать.<br><br>Моя проблема решена - всем спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID1/77959.html#7 Sun, 23 Dec 2007 10:31:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Отпиши результат если получится. <br>&gt;<br>&gt;Все, завел мост и опенвпн. все работает кроме iptables. <br>&gt;<br>&gt;он упорно не хочет пакеты фильтровать. мне надо отфильтровать все пакеты по <br>&gt;мас, и пускать только один. делаю так: <br>&gt;<br>&gt;iptables -A FORWARD -m mac --mac-source ! AA:AA:AA:AA:AA:AA -j DROP <br>&gt;<br>&gt;и нифига - все бегает. <br><br>И про ebtables чертовски правильно сказано. Я слышал звон, но так как не пользовал - подзатерлось в памяти.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/77959.html#6 Sat, 22 Dec 2007 17:24:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Отпиши результат если получится. <br>&gt;<br>&gt;Все, завел мост и опенвпн. все работает кроме iptables. <br>&gt;<br>&gt;он упорно не хочет пакеты фильтровать. мне надо отфильтровать все пакеты по <br>&gt;мас, и пускать только один. делаю так: <br>&gt;<br>&gt;iptables -A FORWARD -m mac --mac-source ! AA:AA:AA:AA:AA:AA -j DROP <br>&gt;<br>&gt;и нифига - все бегает. <br><br>все логично iptables только для ip-трафика, для фильтрации в бридже используйте ebtables<br><br>для проброса pppoe-фреймов через роутер есть pppoe-relay<br> https://www.opennet.ru/openforum/vsluhforumID1/77959.html#5 Fri, 21 Dec 2007 21:42:12 GMT &gt;я сам правда не пробовал, но идея такая. <br>&gt;Отпиши результат если получится. <br><br>Все, завел мост и опенвпн. все работает кроме iptables.<br><br>он упорно не хочет пакеты фильтровать. мне надо отфильтровать все пакеты по мас, и пускать только один. делаю так:<br><br>iptables -A FORWARD -m mac --mac-source ! AA:AA:AA:AA:AA:AA -j DROP <br><br>и нифига - все бегает.<br> https://www.opennet.ru/openforum/vsluhforumID1/77959.html#4 Fri, 21 Dec 2007 14:29:59 GMT я сам правда не пробовал, но идея такая.<br>Отпиши результат если получится.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/77959.html#3 Fri, 21 Dec 2007 14:27:28 GMT &gt;&gt;&gt;можно было бы сделать мост, но тогда он все будет пересылать. <br>&gt;&gt;&gt;А проблема в том что на eth0 падает много широковещания, а tap0 <br>&gt;&gt;&gt;бегает по wi-fi и канал падает от этого широковещания. <br>&gt;&gt;<br>&gt;&gt;Ну iptables на мосту вроде никто не отменял? <br>&gt;<br>&gt;правила iptables будут распространять на пакеты между портами или мост-ПК? <br><br>ну он даст тебе /dev/br0, и пиши к примеру -A INPUT -p TCP -s a.b.c.d --dport XX -j DROP...<br>Вроде давненько даже на материал нарывался в сети типа "прозрачная система обнаружения атак", там поднимался мост, на мост садили snort, и рубили че ненужно фаерволом.<br> https://www.opennet.ru/openforum/vsluhforumID1/77959.html#2 Thu, 20 Dec 2007 10:39:41 GMT &gt;&gt;можно было бы сделать мост, но тогда он все будет пересылать. <br>&gt;&gt;А проблема в том что на eth0 падает много широковещания, а tap0 <br>&gt;&gt;бегает по wi-fi и канал падает от этого широковещания. <br>&gt;<br>&gt;Ну iptables на мосту вроде никто не отменял? <br><br>правила iptables будут распространять на пакеты между портами или мост-ПК?<br> https://www.opennet.ru/openforum/vsluhforumID1/77959.html#1 Thu, 20 Dec 2007 03:01:51 GMT &gt;можно было бы сделать мост, но тогда он все будет пересылать. <br>&gt;А проблема в том что на eth0 падает много широковещания, а tap0 <br>&gt;бегает по wi-fi и канал падает от этого широковещания. <br><br>Ну iptables на мосту вроде никто не отменял?<br>