Forum » Omrežja in internet » ebtables+linux+brctl+siol-tv
ebtables+linux+brctl+siol-tv
korenje_ver2 ::
zdravo. je kdo ze poskusal preusmeriti multicast od siol-tv preko vasega linux racunalnika na drugi racunalnik v omrezju, pri tem da se obdrzi obicni firewall za ipv4 promet?
v mislih imam jz:
ebtables -t broute -P BROUTING DROP
ebtables -t broute -A BROUTING -d 01:00:00:00:00:00/01:00:00:00:00:00 -j ACCEPT
s tem ko dam vse ostalo, razen multicast prometa v drop, pomeni da jih lahko kontroliram z iptables (na nizjem sloju).
ker je ebtables za mosticke, bodo multicast paketi normalno sli preko linux firewalla do ostalih pcjev, s tem da jih lahko manipuliram z iptables.
v glavnem sem probal vendar se mi dogajajo cudni problemi. ce komu uspe napraviti stabilno konfiguracijo, naj mi sporoci.
se moj rc.firewall
v mislih imam jz:
ebtables -t broute -P BROUTING DROP
ebtables -t broute -A BROUTING -d 01:00:00:00:00:00/01:00:00:00:00:00 -j ACCEPT
s tem ko dam vse ostalo, razen multicast prometa v drop, pomeni da jih lahko kontroliram z iptables (na nizjem sloju).
ker je ebtables za mosticke, bodo multicast paketi normalno sli preko linux firewalla do ostalih pcjev, s tem da jih lahko manipuliram z iptables.
v glavnem sem probal vendar se mi dogajajo cudni problemi. ce komu uspe napraviti stabilno konfiguracijo, naj mi sporoci.
se moj rc.firewall
OmegaBlue ::
Zanimiva ideja. Sam sem poizkušal preusmeriti multicast na workstation tako da bi nekako gledal vse programe na enem IP-ju (da ne omenjam kaj se je zgodilo ko sem iz računalnika poizkusil prestaviti program) ker ponavadi oča prestavijo program in na VLC se pojavi tema :/
Never attribute to malice that which can be adequately explained by stupidity.
korenje_ver2 ::
aja ze vidm v cem je fora...
primer loga za sambo. (to je po vklopu bridga eth0+eth1 ter ebtables)
INPUT packet died: IN=br0 OUT= PHYSIN=eth1 PHYSOUT=eth0 MAC=ff:ff:ff:ff:ff:ff:00:50:8d:53:81:38:08:00 SRC=192.168.0.11 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=54885 PROTO=UDP SPT=137 DPT=137 LEN=58
FORWARD packet died: IN=br0 OUT=br0 PHYSIN=eth1 PHYSOUT=eth0 SRC=192.168.0.11 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=54893 PROTO=UDP SPT=137 DPT=137 LEN=58
kr cudno obnasanje mi je to...
primer loga za sambo. (to je po vklopu bridga eth0+eth1 ter ebtables)
INPUT packet died: IN=br0 OUT= PHYSIN=eth1 PHYSOUT=eth0 MAC=ff:ff:ff:ff:ff:ff:00:50:8d:53:81:38:08:00 SRC=192.168.0.11 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=54885 PROTO=UDP SPT=137 DPT=137 LEN=58
FORWARD packet died: IN=br0 OUT=br0 PHYSIN=eth1 PHYSOUT=eth0 SRC=192.168.0.11 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=54893 PROTO=UDP SPT=137 DPT=137 LEN=58
kr cudno obnasanje mi je to...
korenje_ver2 ::
no ta slotech ma tut svoje probleme...
zadeva je nekaj taksnega...
ifconfig eth0 192.168.1.100
ifconfig eth1 192.168.0.1
brctl addbr br0
brctl stp br0 off
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig br0 0.0.0.0 up
ebtables -t broute -P BROUTING DROP
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -o br0 -j ACCEPT
to bi moralo delovati, kot da interfejci niso mosticeni. Amak zakaj mi tcpdump -i br0 -n mece vse to ven:
3:19:07.423491 10.38.17.104 > 225.10.10.10: igmp v2 report 225.10.10.10 (DF) [ttl 1]
03:19:11.896283 192.168.0.12 > 239.255.255.250: igmp v2 report 239.255.255.250 [ttl 1]
03:20:30.616086 0.00:50:8d:53:81:38.455 > 0.ff:ff:ff:ff:ff:ff.455: ipx-netbios 50
03:20:31.391550 0.00:50:8d:53:81:38.455 > 0.ff:ff:ff:ff:ff:ff.455: ipx-netbios 50
03:20:32.168981 0.00:50:8d:53:81:38.455 > 0.ff:ff:ff:ff:ff:ff.455: ipx-netbios 50
03:20:47.631634 192.168.0.12.138 > 192.168.0.255.138: NBT UDP PACKET(138)
03:21:12.113178 10.38.0.1 > 224.0.0.1: igmp query v2 [tos 0xc0] [ttl 1]
03:21:13.067371 192.168.0.12 > 239.255.255.250: igmp v2 report 239.255.255.250 [ttl 1]
03:21:16.570240 10.38.17.104 > 225.10.10.10: igmp v2 report 225.10.10.10 (DF) [ttl 1]
03:21:35.121948 arp who-has 192.168.0.1 tell 192.168.0.11
03:21:35.122049 arp reply 192.168.0.1 is-at 0:40:5:a7:2f:97
Problem je pa pri zadnji vrstici, namrec omrezje se neha odzivat za par sekund, ko se prikaze arp reply 192.168.0.1 is-at 0:40:5:a7:2f:97
zadeva je nekaj taksnega...
ifconfig eth0 192.168.1.100
ifconfig eth1 192.168.0.1
brctl addbr br0
brctl stp br0 off
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig br0 0.0.0.0 up
ebtables -t broute -P BROUTING DROP
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -o br0 -j ACCEPT
to bi moralo delovati, kot da interfejci niso mosticeni. Amak zakaj mi tcpdump -i br0 -n mece vse to ven:
3:19:07.423491 10.38.17.104 > 225.10.10.10: igmp v2 report 225.10.10.10 (DF) [ttl 1]
03:19:11.896283 192.168.0.12 > 239.255.255.250: igmp v2 report 239.255.255.250 [ttl 1]
03:20:30.616086 0.00:50:8d:53:81:38.455 > 0.ff:ff:ff:ff:ff:ff.455: ipx-netbios 50
03:20:31.391550 0.00:50:8d:53:81:38.455 > 0.ff:ff:ff:ff:ff:ff.455: ipx-netbios 50
03:20:32.168981 0.00:50:8d:53:81:38.455 > 0.ff:ff:ff:ff:ff:ff.455: ipx-netbios 50
03:20:47.631634 192.168.0.12.138 > 192.168.0.255.138: NBT UDP PACKET(138)
03:21:12.113178 10.38.0.1 > 224.0.0.1: igmp query v2 [tos 0xc0] [ttl 1]
03:21:13.067371 192.168.0.12 > 239.255.255.250: igmp v2 report 239.255.255.250 [ttl 1]
03:21:16.570240 10.38.17.104 > 225.10.10.10: igmp v2 report 225.10.10.10 (DF) [ttl 1]
03:21:35.121948 arp who-has 192.168.0.1 tell 192.168.0.11
03:21:35.122049 arp reply 192.168.0.1 is-at 0:40:5:a7:2f:97
Problem je pa pri zadnji vrstici, namrec omrezje se neha odzivat za par sekund, ko se prikaze arp reply 192.168.0.1 is-at 0:40:5:a7:2f:97
Brane2 ::
Nimam odgovora, pač pa (še) eno vprašanje.
Zakaj rabiš ebtables ? Kot mi je gentoojev emerge -s ebtables pokazal, gre za nekakšen iptables, le da se ukvarja z ethernet framei.
Kot mi je znano, naj bi imel tudi iptables kriterije za tovrstne prijeme ?
Zakaj rabiš ebtables ? Kot mi je gentoojev emerge -s ebtables pokazal, gre za nekakšen iptables, le da se ukvarja z ethernet framei.
Kot mi je znano, naj bi imel tudi iptables kriterije za tovrstne prijeme ?
On the journey of life, I chose the psycho path.
korenje_ver2 ::
ok pozabu sem se to vrstico omenit.
$EBTABLES -t broute -A BROUTING -d 01:00:00:00:00:00/01:00:00:00:00:00 -j ACCEPT
Ocitno je vse stabilno brez te vrstice. 01:00:00:00:00:00/01:00:00:00:00:00 naj bi bil za multicast, sam zgleda da zadeva spusti se marsikej drugega cez br0.
maci so pa taki:
br0 00:40:05:A7:2F:97
eth0 00:40:05:A7:2F:97
eth1 00:50:BF:79:56:BE
$EBTABLES -t broute -A BROUTING -d 01:00:00:00:00:00/01:00:00:00:00:00 -j ACCEPT
Ocitno je vse stabilno brez te vrstice. 01:00:00:00:00:00/01:00:00:00:00:00 naj bi bil za multicast, sam zgleda da zadeva spusti se marsikej drugega cez br0.
maci so pa taki:
br0 00:40:05:A7:2F:97
eth0 00:40:05:A7:2F:97
eth1 00:50:BF:79:56:BE
Brane2 ::
A ne bi rabu br0 imet drug MAC kot karkoli drugega na tem stroju ?
Čisto laično vprašanje. Mogoče je tako mišljeno, vendar se zdi da stroj zmede zadnji ARP reply, ko dobi odgovor s problematičnim MACom, ki pripada dvem vmesnikom enem fizičnem in enem logičnem...
Čisto laično vprašanje. Mogoče je tako mišljeno, vendar se zdi da stroj zmede zadnji ARP reply, ko dobi odgovor s problematičnim MACom, ki pripada dvem vmesnikom enem fizičnem in enem logičnem...
On the journey of life, I chose the psycho path.
Zgodovina sprememb…
- spremenil: Brane2 ()
korenje_ver2 ::
$BRCTL addbr $BRIDGE
$BRCTL stp $BRIDGE off
$BRCTL addif $BRIDGE $INTERN
$BRCTL addif $BRIDGE $INTERNout
$IFCONFIG $BRIDGE 0.0.0.0 up
$EBTABLES -t broute -P BROUTING DROP
$EBTABLES -t broute -A BROUTING -i $INTERN -p arp --arp-opcode Request --arp-ip-dst $INTERN_IP -j DROP
$EBTABLES -t broute -A BROUTING -d 01:00:00:00:00:00/01:00:00:00:00:00 -j ACCEPT
INTERN_IP=192.168.0.1
INTERN=eth1
ok tko sem resil, da mi dela stabilno. tcpdump -i br0 mece samo se ipx pa samba udp smeti.
z ostalimi paketi se sedaj lahko ravna kot prej.
gledam lahko normalno siol-tv na vseh pcjih v omrezju, saj ta zadeva lepo spusca igmp pakete v obe smeri. to se vidi lepo v tcpdump.
se popravljen rc.firewall
$BRCTL stp $BRIDGE off
$BRCTL addif $BRIDGE $INTERN
$BRCTL addif $BRIDGE $INTERNout
$IFCONFIG $BRIDGE 0.0.0.0 up
$EBTABLES -t broute -P BROUTING DROP
$EBTABLES -t broute -A BROUTING -i $INTERN -p arp --arp-opcode Request --arp-ip-dst $INTERN_IP -j DROP
$EBTABLES -t broute -A BROUTING -d 01:00:00:00:00:00/01:00:00:00:00:00 -j ACCEPT
INTERN_IP=192.168.0.1
INTERN=eth1
ok tko sem resil, da mi dela stabilno. tcpdump -i br0 mece samo se ipx pa samba udp smeti.
z ostalimi paketi se sedaj lahko ravna kot prej.
gledam lahko normalno siol-tv na vseh pcjih v omrezju, saj ta zadeva lepo spusca igmp pakete v obe smeri. to se vidi lepo v tcpdump.
se popravljen rc.firewall
Zgodovina sprememb…
- spremenilo: korenje_ver2 ()
korenje_ver2 ::
mam probleme ocitno z broadcastanjem. paketi ne gredo cez eth0. hmm kako nej zdej streamam filme na stb...
Brane2 ::
Maš IP masko ethernetke prav nastavljeno ?
Sicer po tvojih podatkih se ne znajdem najbolj a kot razbiram, imaš na ethernetki definirano masko /16, da ni dejanjsko kje /24 ali kaj takega ?
Čisto možno da sem falil in da ti takrat že osnovni fw ne bi delal a ni se mi dalo ravno podrobno brat vsega, pač ugibam...
Sicer po tvojih podatkih se ne znajdem najbolj a kot razbiram, imaš na ethernetki definirano masko /16, da ni dejanjsko kje /24 ali kaj takega ?
Čisto možno da sem falil in da ti takrat že osnovni fw ne bi delal a ni se mi dalo ravno podrobno brat vsega, pač ugibam...
On the journey of life, I chose the psycho path.
Zgodovina sprememb…
- spremenil: Brane2 ()
korenje_ver2 ::
ni mi jasno zakaj vidim pakete z tcpdump na vseh eth0, eth1 in br0, ko gledam siol-tv. ko pa oddajam nek posnet kanal, pa vidim to samo na eth1 in br0.
korenje_ver2 ::
sele zdej opazam, da so to navadni udp paketi kar jz posiljam z vlc. tako da se broutajo, kar ni dobr.
edit:
ok problem se resi takole, ce koga zanima...
ebtables -t broute -I BROUTING 2 -p IPv4 --ip-proto udp --ip-destination 224.0.0.0/4 -j ACCEPT
moram se preizkusit ce dela na tv. zdej se glih neki prebeljuje sobo, tko da bo treba pocakat.
-- end of blog :) ---
edit:
ok problem se resi takole, ce koga zanima...
ebtables -t broute -I BROUTING 2 -p IPv4 --ip-proto udp --ip-destination 224.0.0.0/4 -j ACCEPT
moram se preizkusit ce dela na tv. zdej se glih neki prebeljuje sobo, tko da bo treba pocakat.
-- end of blog :) ---
Zgodovina sprememb…
- spremenilo: korenje_ver2 ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Linux Share network connectionOddelek: Pomoč in nasveti | 1069 (945) | hojnikb |
| » | [PHP+ArchLinux]zajem podatkov o mreznih vmesnikihOddelek: Programiranje | 1596 (1380) | KernelPanic |
| » | router asus WL550ge, ARP tabela in WOLOddelek: Omrežja in internet | 1601 (1455) | mNeRo |
| » | Wireless router ne sprejme nekaterih ARP paketov.Oddelek: Omrežja in internet | 821 (720) | _n00b_ |
| » | Asus WL-500gP OpenWRT konfiguracijaOddelek: Omrežja in internet | 3760 (2678) | Bakunin |