Re: modo bridge en Debian
El día Thursday 21 September 2006 08:36, Ing. Torres Javier escribió: > Omar Urbieta escribió: > > Hola listeros, > > > > > > > > Soy nuevo en el mundo de Linux, por lo que mis preguntas pueden ser > > un poco tontas. > > > > Quiero instalarme un Debian que me funcione en modo bridge. Para ello > > he estado mirando > > > > por la web y he leido que tengo que cambiar el código fuente del > > kernel y compilarlo. > > > > > > > > Lo que he hecho ha sido instalarme la ultima version del Debian, pero > > no se por donde seguir. > > > > Alguien me podría ayudar? Gracias de antemano. > > tenes que (como root): > tener mínimo 2 placas de red, configuradas > y luego lo único que tenes que hacer es: > en el archivo /etc/network/options > colocar > > ip_forward=yes > > grabar y reiniciar la red: > > /etc/init.d/networking restart > > eso es todo > > Saludos... > > > Javier T. Yo creo que eso es un router y no un bridge -- http://www.openoffice.org http://www.gnu.org/philosophy/no-word-attachments.es.html
Re: modo bridge en Debian
On Friday 22 September 2006 11:02, Nelson Castillo wrote: > > La idea del bridge es que funcione bajo nivel dos (enlace), > > analice el encabezado, y sepa donde enviarlo, osea necesitas la > > resolucion de las direcciones de internet a la red local (arp) > > Hola Felipe. > > Tienes razón, pero para que eso pase se usa la tabla ARP del > kernel, y no es necesario que el kernel desarme los paquetes > para que lleguen a ser procesados en la capa de IP. > > # arp -an > ? (192.168.1.1) at 02:00:F5:41:EB:91 [ether] on eth0 > ? (192.168.10.214) at 00:07:95:32:DB:C2 [ether] on eth2 > ? (192.168.10.216) at 00:E0:4C:8F:11:EC [ether] on eth2 > ? (192.168.10.229) at 00:03:CE:88:C8:73 [ether] on eth2 > ? (192.168.10.222) at 00:13:8F:1A:EB:80 [ether] on eth2 > ? (192.168.10.205) at 00:16:76:0B:1B:0A [ether] on eth2 > > > Con esta tabla, ya el kernel tiene información suficiente para > enviar los paquetes a donde toque. Cuando el kernel recibe un > arp request (digamos en eth0) y no tiene la ARP en su tabla, entonces > el bridge debe re-transmitir ese request a las otras interfaces. > > > Ahora lo que seria bueno es que yo vea como me funciona mi dmz y toda la > > red sin el proxy_arp (cosa que desgraciadamente no puedo hacer ya q son > > servidores de produccion, pero yo creo q el sabado en la madrugada lo > > hare ) y asi podriamos intercambiar nuestras "experiencias de trafico". > > Vi tu wiki y > > Ah, veo. Trata de hacer funcionar primero el bridge, sin snort-inline. > Consulté con un amigo y también piensa que no es necesario activar > ip_forward ni proxy arp para tener un bridge. > > Si lo que tienes es un brouter, en ese caso si toca hacerlo > (por lo menos poner ip_forward). No tengo como hacer pruebas > ahora para probar las combinaciones. > > > mira habiamos pensado hacerlo con ebtables pero al final nos decidimos > > por snort-inline+iptables para un mejor control de la dmz > > aca te mando partes del script de iptables > > > > iptables -F > > modprobe ip_queue > > > > iptables -P FORWARD DROP > > iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state > > --state INVAL ID -j DROP > > Por lo que veo, toca usr iptables para usar ip_queue, ¿no? No sé > si eso se pueda con ebtables, supongo que no, pero no estoy seguro. > > > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j QUEUE > > Creo que esto no se puede hacer en ebtables. > > > iptables -A FORWARD -p tcp -s 0/0 -d IP_SERVER --dport 1:65301 -j DROP > > Esta regla también la podrías hacer con ebtables, usando > --ip-destination-port > > Leyendo ebtables vi algo interesante que te puede servir, y es la tabla > broute. Si uno hace un DROP a un paquete en esa tabla, el paquete > es enrutado, lo que quiere decir que lo puedes procesar con iptables. > Si uno le da ACCEPT a un paquete acá, entonces es puenteado (bridged). > Creo que puedes usar eso. > > Y tienes razón en cuanto al interfaces(5), tal vez valga la pena > poner algo como (esto no está probado, me lo recomendó un amigo): > >iface br0 inet manual >pre-up brctl addbr br0 >pre-up brctl addif br0 eth0 >pre-up brctl addif br0 eth1 >pre-up brctl addif br0 eth2 >pre-up ifconfig eth0 up >pre-up ifconfig eth1 up >pre-up ifconfig eth2 up >up ifconfig br0 up >up ifconfig br0 192.168.1.2 >down ifconfig br0 down >post-down ifconfig eth0 down >post-down ifconfig eth1 down >post-down ifconfig eth2 down >post-down brctl delif br0 eth0 >post-down brctl delif br0 eth1 >post-down brctl delif br0 eth2 >post-down brctl delbr br0 > > Cordialmente, > Nelson.- si lo de la interface te sirve sobre todo para actualizar el bridge ya q es transparente a internet lo hago salir por otra maquina bueno el fin de semana voy hacer las prtuebas con tu conf y ver la diferencia con el mio te cuento ! saludos ! -- ___ Felipe Tornvall N. lu: 400327 w: http://linux.pctools.cl Descarga de Distribuciones
Re: modo bridge en Debian
La idea del bridge es que funcione bajo nivel dos (enlace), analice el encabezado, y sepa donde enviarlo, osea necesitas la resolucion de las direcciones de internet a la red local (arp) Hola Felipe. Tienes razón, pero para que eso pase se usa la tabla ARP del kernel, y no es necesario que el kernel desarme los paquetes para que lleguen a ser procesados en la capa de IP. # arp -an ? (192.168.1.1) at 02:00:F5:41:EB:91 [ether] on eth0 ? (192.168.10.214) at 00:07:95:32:DB:C2 [ether] on eth2 ? (192.168.10.216) at 00:E0:4C:8F:11:EC [ether] on eth2 ? (192.168.10.229) at 00:03:CE:88:C8:73 [ether] on eth2 ? (192.168.10.222) at 00:13:8F:1A:EB:80 [ether] on eth2 ? (192.168.10.205) at 00:16:76:0B:1B:0A [ether] on eth2 Con esta tabla, ya el kernel tiene información suficiente para enviar los paquetes a donde toque. Cuando el kernel recibe un arp request (digamos en eth0) y no tiene la ARP en su tabla, entonces el bridge debe re-transmitir ese request a las otras interfaces. Ahora lo que seria bueno es que yo vea como me funciona mi dmz y toda la red sin el proxy_arp (cosa que desgraciadamente no puedo hacer ya q son servidores de produccion, pero yo creo q el sabado en la madrugada lo hare ) y asi podriamos intercambiar nuestras "experiencias de trafico". Vi tu wiki y Ah, veo. Trata de hacer funcionar primero el bridge, sin snort-inline. Consulté con un amigo y también piensa que no es necesario activar ip_forward ni proxy arp para tener un bridge. Si lo que tienes es un brouter, en ese caso si toca hacerlo (por lo menos poner ip_forward). No tengo como hacer pruebas ahora para probar las combinaciones. mira habiamos pensado hacerlo con ebtables pero al final nos decidimos por snort-inline+iptables para un mejor control de la dmz aca te mando partes del script de iptables iptables -F modprobe ip_queue iptables -P FORWARD DROP iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state --state INVAL ID -j DROP Por lo que veo, toca usr iptables para usar ip_queue, ¿no? No sé si eso se pueda con ebtables, supongo que no, pero no estoy seguro. iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j QUEUE Creo que esto no se puede hacer en ebtables. iptables -A FORWARD -p tcp -s 0/0 -d IP_SERVER --dport 1:65301 -j DROP Esta regla también la podrías hacer con ebtables, usando --ip-destination-port Leyendo ebtables vi algo interesante que te puede servir, y es la tabla broute. Si uno hace un DROP a un paquete en esa tabla, el paquete es enrutado, lo que quiere decir que lo puedes procesar con iptables. Si uno le da ACCEPT a un paquete acá, entonces es puenteado (bridged). Creo que puedes usar eso. Y tienes razón en cuanto al interfaces(5), tal vez valga la pena poner algo como (esto no está probado, me lo recomendó un amigo): iface br0 inet manual pre-up brctl addbr br0 pre-up brctl addif br0 eth0 pre-up brctl addif br0 eth1 pre-up brctl addif br0 eth2 pre-up ifconfig eth0 up pre-up ifconfig eth1 up pre-up ifconfig eth2 up up ifconfig br0 up up ifconfig br0 192.168.1.2 down ifconfig br0 down post-down ifconfig eth0 down post-down ifconfig eth1 down post-down ifconfig eth2 down post-down brctl delif br0 eth0 post-down brctl delif br0 eth1 post-down brctl delif br0 eth2 post-down brctl delbr br0 Cordialmente, Nelson.- -- http://arhuaco.org http://emQbit.com
Re: modo bridge en Debian
On Friday 22 September 2006 03:31, Nelson Castillo wrote: > On 9/21/06, Felipe Tornvall <[EMAIL PROTECTED]> wrote: > > On Thursday 21 September 2006 15:58, Nelson Castillo wrote: > > > On 9/21/06, Omar Urbieta <[EMAIL PROTECTED]> wrote: > > > > Hola listeros, > > (snip) > > > #Activation du "forwarding IP" et du "proxy-arp" au niveau du noyau : > > up echo "1" > /proc/sys/net/ipv4/ip_forward > > up echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp > > Yo creo que el proxy arp no se neesita para hacer un bridge. > > Acá puse un documento en una wiki, en la que escribo sobre > lo que hace un bridge y un proxy arp. > > http://wiki.freaks-unidos.net/debian-bridge-es > > Ahora no tengo como probar, así que si Felipe o alguien tiene algo > que coregir, pues sólo toca editar la página o me envían > un correo. > > Falta revisar un poco más, ya acá es hora de dormir desde hace > mucho rato. Hasta mañana. > > Atte, > Nelson.- corrigeme si me equivoco (ya q estoy haciendo una tesis para la universidad y uno de los temas son los bridges) La idea del bridge es que funcione bajo nivel dos (enlace), analice el encabezado, y sepa donde enviarlo, osea necesitas la resolucion de las direcciones de internet a la red local (arp) Ahora lo que seria bueno es que yo vea como me funciona mi dmz y toda la red sin el proxy_arp (cosa que desgraciadamente no puedo hacer ya q son servidores de produccion, pero yo creo q el sabado en la madrugada lo hare ) y asi podriamos intercambiar nuestras "experiencias de trafico". Vi tu wiki y mira habiamos pensado hacerlo con ebtables pero al final nos decidimos por snort-inline+iptables para un mejor control de la dmz aca te mando partes del script de iptables iptables -F modprobe ip_queue iptables -P FORWARD DROP iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state --state INVAL ID -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j QUEUE iptables -A FORWARD -p tcp -s 0/0 -d IP_SERVER --dport 80 -j QUEUE iptables -A FORWARD -p tcp -s 0/0 -d IP_SERVER --dport 1:65301 -j DROP -- ___ Felipe Tornvall N. lu: 400327 w: http://linux.pctools.cl Descarga de Distribuciones
Re: modo bridge en Debian
On 9/21/06, Felipe Tornvall <[EMAIL PROTECTED]> wrote: On Thursday 21 September 2006 15:58, Nelson Castillo wrote: > On 9/21/06, Omar Urbieta <[EMAIL PROTECTED]> wrote: > > Hola listeros, (snip) #Activation du "forwarding IP" et du "proxy-arp" au niveau du noyau : up echo "1" > /proc/sys/net/ipv4/ip_forward up echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp Yo creo que el proxy arp no se neesita para hacer un bridge. Acá puse un documento en una wiki, en la que escribo sobre lo que hace un bridge y un proxy arp. http://wiki.freaks-unidos.net/debian-bridge-es Ahora no tengo como probar, así que si Felipe o alguien tiene algo que coregir, pues sólo toca editar la página o me envían un correo. Falta revisar un poco más, ya acá es hora de dormir desde hace mucho rato. Hasta mañana. Atte, Nelson.- -- http://arhuaco.org http://emQbit.com
Re: modo bridge en Debian
On Thursday 21 September 2006 09:52, Omar Urbieta wrote: > Hola listeros, > > > > Soy nuevo en el mundo de Linux, por lo que mis preguntas pueden ser un > poco tontas. > > Quiero instalarme un Debian que me funcione en modo bridge. Para ello he > estado mirando > > por la web y he leido que tengo que cambiar el código fuente del kernel y > compilarlo. Te recomiendo que uses shorewall, tiene una documentación excelente al respecto. Yo tengo varios cortafuegos implementados de esta manera y tienen un rendimiento excelente. La única pega que le veo es que para poder administrarlos remotamente les debes dar una ip, con lo cual les quitas toda la "invisibilidad" que tienen. Por lo demás es una exelente opción. -- There are no limits. pgp2KAw2J44ba.pgp Description: PGP signature
Re: modo bridge en Debian
On Thursday 21 September 2006 15:58, Nelson Castillo wrote: > On 9/21/06, Omar Urbieta <[EMAIL PROTECTED]> wrote: > > Hola listeros, > > > > > > > > Soy nuevo en el mundo de Linux, por lo que mis preguntas pueden ser un > > poco tontas. > > > > Quiero instalarme un Debian que me funcione en modo bridge. Para ello he > > estado mirando > > > > por la web y he leido que tengo que cambiar el código fuente del kernel y > > compilarlo. > > No. Con sarge no hay que hacer nada. Funciona out-of-the-box. > > ifconfig eth0 0.0.0.0 > ifconfig eth1 0.0.0.0 > brctl addbr br0 > brctl addif br0 eth0 > brctl addif br0 eth1 > > Opcionalmente, si quieres que tu máquina tenga una IP > (lo que no es necesario con los bridges porque operan en la > capa Ethernet y no en la IP), puedes usar algo como: > > ifconfig br0 192.168.0.2 netmask 255.255.255.0 up > route add default gw 192.168.0.1 dev br0 > > La ventaja de poner una IP es que puedes entrar con SSH, > y también usarl lam máquina como router a nivel de IP. A veces uno > debe combinar esas configuraciones. Cuando uno combina > bridge y router, uno hace algo que se llama un brouter. > No olvides poner "ip_forward=yes" en /etc/network/options > si vas a usar la máquina como brouter. > > Así bajarías (desactivarías) la configuración que acabo > de escribir: > > route del default gw 192.168.0.1 dev br0 > ifconfig br0 down > brctl delif br0 eth0 > brctl delif br0 eth1 > ifconfig eth0 down > ifconfig eth1 down > brctl delbr br0 > > Por acá tengo unos scripts para hacer un > bridge con control de tráfico, que no he documentado. > Eso debo hacerlo... > > http://svn.arhuaco.org/svn/src/junk/trunk/bridge/ yo tb hice eso en bridge..pero tienes que hacer bridge-utils - Utilities for configuring the Linux ethernet bridge pctools:~# cd /etc/ pctools:/etc# cat network/interfaces auto lo br0 iface lo inet loopback #Activation du "forwarding IP" et du "proxy-arp" au niveau du noyau : up echo "1" > /proc/sys/net/ipv4/ip_forward up echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp iface br0 inet manual pre-up ifconfig eth0 down pre-up ifconfig eth1 down pre-up ifconfig eth2 down pre-up brctl addbr br0 pre-up brctl addif br0 eth0 pre-up brctl addif br0 eth1 pre-up brctl addif br0 eth2 pre-up ifconfig eth0 up pre-up ifconfig eth1 up pre-up ifconfig eth2 up up ifconfig br0 up up ifconfig br0 192.168.1.100 pre-up /etc/init.d/firewall down ifconfig br0 down post-down ifconfig eth0 down post-down ifconfig eth1 down post-down ifconfig eth2 down post-down brctl delif br0 eth0 post-down brctl delif br0 eth1 post-down brctl delif br0 eth2 post-down brctl delbr br0 pctools:/etc# -- ___ Felipe Tornvall N. lu: 400327 w: http://linux.pctools.cl Descarga de Distribuciones
Re: modo bridge en Debian
El Jueves, 21 de Septiembre de 2006 21:58, Nelson Castillo escribió: > ifconfig eth0 0.0.0.0 > ifconfig eth1 0.0.0.0 > brctl addbr br0 > brctl addif br0 eth0 > brctl addif br0 eth1 > > Opcionalmente, si quieres que tu máquina tenga una IP > (lo que no es necesario con los bridges porque operan en la > capa Ethernet y no en la IP), puedes usar algo como: > > ifconfig br0 192.168.0.2 netmask 255.255.255.0 up > route add default gw 192.168.0.1 dev br0 > > La ventaja de poner una IP es que puedes entrar con SSH, > y también usarl lam máquina como router a nivel de IP. A veces uno > debe combinar esas configuraciones. Cuando uno combina > bridge y router, uno hace algo que se llama un brouter. > No olvides poner "ip_forward=yes" en /etc/network/options > si vas a usar la máquina como brouter. > > Así bajarías (desactivarías) la configuración que acabo > de escribir: > > route del default gw 192.168.0.1 dev br0 > ifconfig br0 down > brctl delif br0 eth0 > brctl delif br0 eth1 > ifconfig eth0 down > ifconfig eth1 down > brctl delbr br0 > > Por acá tengo unos scripts para hacer un > bridge con control de tráfico, que no he documentado. > Eso debo hacerlo... > > http://svn.arhuaco.org/svn/src/junk/trunk/bridge/ Este correo va, tal cuál está, a mi ficheros de documentación sobre sistemas. :) -- Iñaki
Re: modo bridge en Debian
On 9/21/06, Omar Urbieta <[EMAIL PROTECTED]> wrote: Hola listeros, Soy nuevo en el mundo de Linux, por lo que mis preguntas pueden ser un poco tontas. Quiero instalarme un Debian que me funcione en modo bridge. Para ello he estado mirando por la web y he leido que tengo que cambiar el código fuente del kernel y compilarlo. No. Con sarge no hay que hacer nada. Funciona out-of-the-box. ifconfig eth0 0.0.0.0 ifconfig eth1 0.0.0.0 brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 Opcionalmente, si quieres que tu máquina tenga una IP (lo que no es necesario con los bridges porque operan en la capa Ethernet y no en la IP), puedes usar algo como: ifconfig br0 192.168.0.2 netmask 255.255.255.0 up route add default gw 192.168.0.1 dev br0 La ventaja de poner una IP es que puedes entrar con SSH, y también usarl lam máquina como router a nivel de IP. A veces uno debe combinar esas configuraciones. Cuando uno combina bridge y router, uno hace algo que se llama un brouter. No olvides poner "ip_forward=yes" en /etc/network/options si vas a usar la máquina como brouter. Así bajarías (desactivarías) la configuración que acabo de escribir: route del default gw 192.168.0.1 dev br0 ifconfig br0 down brctl delif br0 eth0 brctl delif br0 eth1 ifconfig eth0 down ifconfig eth1 down brctl delbr br0 Por acá tengo unos scripts para hacer un bridge con control de tráfico, que no he documentado. Eso debo hacerlo... http://svn.arhuaco.org/svn/src/junk/trunk/bridge/ -- http://arhuaco.org http://emQbit.com
Re: modo bridge en Debian
El Jueves, 21 de Septiembre de 2006 09:52, Omar Urbieta escribió: > Hola listeros, > > > > Soy nuevo en el mundo de Linux, por lo que mis preguntas pueden ser un > poco tontas. Una recomendación: Como norma para el buen uso de la lista no escribas en HTML a la lista, escribe en texto plano, y si usas Outlook activa la opción de añadir carácter de citado en la respuestas para que ponga un > al inicio de cada línea a la que respondes. Tienes todas las normas y su porqué aquí: http://wiki.debian.org/NormasLista Y por supuesto, bienvenido a la lista. -- Iñaki
Re: modo bridge en Debian
El Jueves, 21 de Septiembre de 2006 14:36, Ing. Torres Javier escribió: > Omar Urbieta escribió: > > Hola listeros, > > > > > > > > Soy nuevo en el mundo de Linux, por lo que mis preguntas pueden ser > > un poco tontas. > > > > Quiero instalarme un Debian que me funcione en modo bridge. Para ello > > he estado mirando > > > > por la web y he leido que tengo que cambiar el código fuente del > > kernel y compilarlo. > > > > > > > > Lo que he hecho ha sido instalarme la ultima version del Debian, pero > > no se por donde seguir. > > > > Alguien me podría ayudar? Gracias de antemano. > > tenes que (como root): > tener mínimo 2 placas de red, configuradas > y luego lo único que tenes que hacer es: > en el archivo /etc/network/options > colocar > > ip_forward=yes > > grabar y reiniciar la red: > > /etc/init.d/networking restart > > eso es todo > > Saludos... Pero eso es modo router (capa 3), no modo bridge (capa 2). -- Iñaki
Re: modo bridge en Debian
El 21/09/06, Omar Urbieta<[EMAIL PROTECTED]> escribió: Hola listeros, Soy nuevo en el mundo de Linux, por lo que mis preguntas pueden ser un poco tontas. Quiero instalarme un Debian que me funcione en modo bridge. Para ello he estado mirando por la web y he leido que tengo que cambiar el código fuente del kernel y compilarlo. tenes q bajarte el codigo del kernel, apt-get install kernel-source-2.x.x compilar el kernel con el parche para bridge google.com compilar kernel bridge y luego instalar las aplicaciones para controlar el bridge aptitude install bridge-utils espero que te ayude Lo que he hecho ha sido instalarme la ultima version del Debian, pero no se por donde seguir. Alguien me podría ayudar? Gracias de antemano. -- --- - El conocimiento es poder - - y el saber nos hace libres.- --- Larga vida al ping! echo "254" > /proc/sys/net/ipv4/ip_default_ttl Linux User #405757 Machine Linux #310536
Re: modo bridge en Debian
Omar Urbieta escribió: Hola listeros, Soy nuevo en el mundo de Linux, por lo que mis preguntas pueden ser un poco tontas. Quiero instalarme un Debian que me funcione en modo bridge. Para ello he estado mirando por la web y he leido que tengo que cambiar el código fuente del kernel y compilarlo. Lo que he hecho ha sido instalarme la ultima version del Debian, pero no se por donde seguir. Alguien me podría ayudar? Gracias de antemano. tenes que (como root): tener mínimo 2 placas de red, configuradas y luego lo único que tenes que hacer es: en el archivo /etc/network/options colocar ip_forward=yes grabar y reiniciar la red: /etc/init.d/networking restart eso es todo Saludos... Javier T. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
modo bridge en Debian
Hola listeros, Soy nuevo en el mundo de Linux, por lo que mis preguntas pueden ser un poco tontas. Quiero instalarme un Debian que me funcione en modo bridge. Para ello he estado mirando por la web y he leido que tengo que cambiar el código fuente del kernel y compilarlo. Lo que he hecho ha sido instalarme la ultima version del Debian, pero no se por donde seguir. Alguien me podría ayudar? Gracias de antemano.