[linux] viacero IP adries na jednom rozhrani a filtrovanie cez IPtables
Ondrej Ivanič
ondrej na kmit.sk
Pondělí Leden 9 13:10:36 CET 2006
Lubomir Host wrote:
> Moja otazka teraz znie: ako zapisovat nazov rozhrania v iptables? Ako
> 'eth0' alebo 'eth0:0'?
>
> Teraz pouzivam prikazy pre iptables zhruba nasledovne:
>
> -----------------------------------%<-----------------------------------
> # iptables -A INPUT -d 192.168.0.107 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
> -----------------------------------%<-----------------------------------
>
> Ako sa budu spravat iptables, ak nadefinujem pravidla pre rozhrania
> 'eth0' a 'eth0:0' sucasne?
IP vrstva jednoducho nepozna pojem ako alias. Sietovy interface je
unikatny a jednoducho ma len viac ip adries. (od kernelu 2.4, tusim)
IMHO najlepsie je zabudnut na 'ifconfig' a pouzivat 'ip' a v iptables sa
odkazovat len na skutocny interface napr:
iptables -A INPUT -i eth0 -d <eth0:0 ip> ...
Adresa pridana pomocou 'ip' nebude vsak viditelna pre ifconfig, treba
pouzit label:
ip addr add 192.168.0.0/24 brd ... dev eth0 label eth0:0
co aj tak nic neriesi, lebo label nie je mozne pouzit pri -i -o v iptables.
skus vsak pomocou 'ip link set [device] name [newname]' nastavit nove
meno, ktore asi bude pouzitelne z iptables. Interface musi byt down a
nesmie mat ip adresu, inac dostanes 'Device or resource busy'
--
Ondrej Ivanic
(ondrej na kmit.sk)
Další informace o konferenci linux