--------------------------------------------------------------------------- > Mivel nem tervezel alkalmazás szintű szűrést, szerintem nem érdemes | > egy külön domU-t fenntartani erre a célra, hacsak nincs olyan igényed, | > amit a Xen dom0 kernel még nem tud kielégíteni (pl. IPv6 conntrack). | > Ezáltal valamivel egyszerűbb a felállás. | > | > Ha külön tűzfal domU-t használsz, akkor csinálj külön bridge-eket a | > tűzfal interfészeinek, és a azokba tedd be a gép fizikai interfészeit | > illetve a többi domU virtuális interfészeit is. Belefuthatsz abba, | > hogy egy domU-nak legfeljebb három virtuális interfésze lehet; akkor | > VLAN-oznod kell. | ---------------------------------------------------------------------------
Igen. PCIback -el már át tudtam pakolni az interfészeket a FWdomU -nak és erre gondoltam én is az ebtables hallatán, hogy bridge -eket fogok csinálni minden zóna felé. Így a zónák közötti szűrés megvalósítható. Egyébként én csak azért gondolkoztam abban, hogy a tűzfal egy VM -en legyen, mert többen "beszóltak", hogy milyen dolog azt a dom0 -ra tenni. Említették itt a DoS támadást plédául. Viszont ha a FWdomU -t DoS -olják, akkor is vége mindennek, hiszen a routolásnak akkor annyi _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux