[Tecnica] Curiosità su Netfilter

[Szymon Tomasz Stefanek]

On Monday 05 January 2009, Yusef Maali wrote:
> Salve a tutti,
> spippolando con iptables mi è venuta una curiosità che non so bene come
> soddisfare.
>
> Ho un'interfaccia di rete eth0, attiva ma non configurata, sulla quale creo
> tramite PPPoE un'interfaccia virtuale (si chiamano virtuali questo tipo di
> interfacce? virtuale, logica, ...) ppp0. Siccome la eth0 è connessa
> direttamente alla rete interna di un noto provider rosiniano, mentre la
> ppp0 è connessa via point-to-point sul gateway di tale provider, mi chiedo:
> Posso impostare regole di filtraggio diverse per le due interfacce?

Se ho interpretato bene la domanda, si:

iptables ... -o interfaccia ...
iptables ... -i interfaccia ...

> Netfilter è intelligente a sufficienza da sapere che nonostante condividano
> la stessa interfaccia fisica, in realtà sono due cose ben distinte?

Si.

Iptables opera su interfaccie logiche non su devices fisici.
Infatti puoi fare filtraggio su "lo", che non ha dispositivo fisico 
associato...

Quello che non puoi fare nel tuo caso è filtrare il traffico PPPoE
sulla eth0. Questo perchè i pacchetti PPPoE sono "sotto" il livello
IP e non entrano nel flusso di iptables. Il contenuto dello stream
PPPoE lo vedi apparire direttamente da ppp0.

Sulla eth0, quindi, puoi filtrare i pacchetti _IP_ che vanno direttamente alle
macchine connesse via ethernet.

Questo in generale... poi non mi stupirei se rovistando su netfilter.org
tu trovassi una qualche patch malefica che ti permette di matchare
il PPPoE direttamente su eth0... nello stack di rete la gente ci fa le
peggio porcate :D

Szymon Tomasz Stefanek