[Tecnica] Curiosità su Netfilter

Yusef Maali contact a yusefmaali.net
Mar 6 Gen 2009 01:21:28 GMT


Premetto che rileggendo a "mente fredda" (e nel vero senso del termine visto i -5 che sono fuori), mi rendo conto di aver chiesto nel modo sbagliato una cosa ovvia... (riflettere e rileggere, riflettere e rileggere, riflettere e rileggere)

L'origine della domanda deriva dal voler mettere un DROP su tutto il traffico della eth0 (in, out e fwd), in modo da isolarmi completamente.
Al che m'è venuto il dubbio: se droppo tutto su eth0, mi si droppano anche le interfacce logiche che ci passano dentro.

La cosa ha un senso, visto che PPPoE inizializza la ppp attraverso la eth0. Quindi la eth0 deve lasciar passare almeno i pacchetti necessari a PPPoE.
Poi riflettendo (ma non rileggendo) m'è venuto in mente che PPPoE non lavora a livello IP, lavora ad un livello più basso (MAC address), alchè posso droppare tutto quello che voglio, tranquillo del fatto che netfilter opera solamente a livello IP e non mi crea interferenze "distruttive".

Riflettere e rileggere... :)

Grazie comunque di aver risposto!


> Quello che non puoi fare nel tuo caso è filtrare il traffico PPPoE
> sulla eth0. Questo perchè i pacchetti PPPoE sono "sotto" il livello
> IP e non entrano nel flusso di iptables. Il contenuto dello stream
> PPPoE lo vedi apparire direttamente da ppp0.

Si, per il solito motivo che PPPoE lavora a livello MAC, right?


> Questo in generale... poi non mi stupirei se rovistando su netfilter.org
> tu trovassi una qualche patch malefica che ti permette di matchare
> il PPPoE direttamente su eth0... nello stack di rete la gente ci fa le
> peggio porcate :D


Eheheheh, l'ideale per amministrare bene una rete :D


Ciao,
Yusef


Maggiori informazioni sulla lista Tecnica