PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Überwachung einer Netzwerkbrücke möglich?



blacky
04.02.2010, 12:42
Hallo,
ich habe Fragen zu Netzwerkbrücken. Erstmal, angenommen man verbindet openvpn (tapx) mit einer Netzwerkkarte (ethx) zu einer Brücke (brx).
1. Ist es nun überhaupt noch möglich zwischen tapx und ethx Reglementierungen mit iptables einzubauen?
2. Kann man auf dem Rechner, welcher die Brücke erstellt hat, die Verbindungen welche von tapx zu ethx oder umgekehrt gehen sehen, mit netstat oder vergleichbares?
3. Ist es möglich zu unterscheiden zu welchem Netzwerksegment eine IP-Adresse gehört, sprich 192.168.3.5 kommt aus tapx und 192.168.3.10 kommt aus ethx?

Danke im Voraus!

saeckereier
04.02.2010, 12:48
Hallo,
ich habe Fragen zu Netzwerkbrücken. Erstmal, angenommen man verbindet openvpn (tapx) mit einer Netzwerkkarte (ethx) zu einer Brücke (brx).
1. Ist es nun überhaupt noch möglich zwischen tapx und ethx Reglementierungen mit iptables einzubauen?
Nein. Durch das Bridging werden beide Netzwerkkarten zu einer zusammengefasst. Iptables kann den Verkehr, der dadurch läuft nicht beeinflussen. Ausnahme: Hat die Bridge selbst eine IP-Adresse, kann Verkehr, der an die Bridge gerichtet ist oder von dieser stammt per iptables gefiltert werden. Sofern Broadcasts nicht gebraucht werden, ist routing eine bessere Alternative. Dort ist das Filtern mit iptables kein Problem.

Es gibt allerdings ebtables, damit ist ein begrenztes Filtern der Daten, die die Bridge passieren möglich.


2. Kann man auf dem Rechner, welcher die Brücke erstellt hat, die Verbindungen welche von tapx zu ethx oder umgekehrt gehen sehen, mit netstat oder vergleichbares?
Nein. Man kann allerdings einen Sniffer (tcpdump, wireshark, ...) einsetzen. Netstat zeigt immer nur Verbindungen des eigenen Rechners. (Von/Nach)


3. Ist es möglich zu unterscheiden zu welchem Netzwerksegment eine IP-Adresse gehört, sprich 192.168.3.5 kommt aus tapx und 192.168.3.10 kommt aus ethx?
Nein. (Ausser ebtables) Die beiden Karten bilden ein virtuelles Device. Die Daten kommen aus br0.