Filtros para dropar tudo que não seja PPPOE (queria entender melhor essas configs que andei vendo)
Achei 2 pacotes de regras que de acordo com os seus postadores, dropam tudo que que não tiver dentro de quadros pppoe:
Código PHP:
ebtables.6.cmd=-P FORWARD DROP
ebtables.6.status=enabled
ebtables.5.cmd=-A FORWARD -p 0x8864 -j ACCEPT
ebtables.5.status=enabled
ebtables.4.cmd=-A FORWARD -p 0x8863 -j ACCEPT
ebtables.4.status=enabled
Código PHP:
ebtables.4.cmd=-A FORWARD -d broadcast -o eth0 -j DROP
ebtables.4.status=enabled
ebtables.5.cmd=-A FORWARD -p 0x8863 -j ACCEPT
ebtables.5.status=enabled
ebtables.6.cmd=-A FORWARD -p 0x8864 -j ACCEPT
ebtables.6.status=enabled
ebtables.7.cmd=-A FORWARD -j DROP
ebtables.7.status=enabled
vocês saberiam me dizer a diferença de um para o outro? Eu tenho meus palpites, mas não entendo nada disso aí, parece grego pra mim. Só faço algumas deduções devido aos códigos usados.
Também é estranho pra mim a ordem das regras, no mkt em geral as regras são aplicadas de cima pra baixo, mas parece que no airos isso é diferente ou essa primeira regra aí ia parar o ap completamente...
Outra curiosidade minha, esse número depois do "ebtables" se refere a que? É um tipo de hierarquia, tipo as regras 4 são aplicadas antes das regras 6? Ou esses números se referem à camada na qual essas regras serão aplicadas??
E principalmente, se eu copiar e colar um desses 2 conjuntos de regras no meu ap com airos, vai resolver meu problema? Vai deixar apenas os quadros PPPOE passando e dropar todo o resto?
Valeu, abraços!
Re: Filtros para dropar tudo que não seja PPPOE (queria entender melhor essas configs que andei vendo)
fazem a mesma coisa, eu prefiro o segundo, por forçar um DROP nofinal, assim se vc der um iptables -F .. nao perde conexao de gerenciamento.. (ja que o primeiro coloca a politica de DROP como padrao)
o segundo ainda tem um bloqueio de broadcast ai...
mas fazem o mesmo efeito...
Re: Filtros para dropar tudo que não seja PPPOE (queria entender melhor essas configs que andei vendo)
A primeira é mais elegante, coloca a politica como DROP e só vai liberar o que você fizer de forma explicita no caso pppoe-session e pppoe-discovery, a segunda opção chove no molhado, quando coloca ebtables.4.cmd=-A FORWARD -d broadcast -o eth0 -j DROP, isso é desnecessário já que existe um DROP no final, tudo que não for liberado vai ser dropado, inclusive o broadcast,multicast. No final as duas fazem a mesma coisa, mas se for pensar em performance a primeira ganha por 1 regra a menos. Em relação ao comentário do colega de perder a sessão de gerenciamento, isso não procede, pois a conexão ao equipamento só pode ser bloqueada na chain INPUT ou OUTPUT o qual não é esse caso.
Att,
Anderson Araújo
Re: Filtros para dropar tudo que não seja PPPOE (queria entender melhor essas configs que andei vendo)
eh.. nao perde mesmo nao.. :P
nao prestei atenção qual chain era :P
Re: Filtros para dropar tudo que não seja PPPOE (queria entender melhor essas configs que andei vendo)
Obrigado pelas respostas pessoal, vou tacar as regras em alguns aps ubnt que tenho aqui pra ver o que acontece, e depois se tiver tudo nos conformer boto em todos os outros.
Vocês sabem se tem algum lugar no airos que eu posso ver se as regras estão funcionando, se tão dropando pacotes, como a gente pode ver no mkt?