网桥数据可以被 REDIRECT 吗？

platinum

smalloc 说的我大体都明白，但 “如果有 switch 而就问题很大” 我还暂时不能理解，再去消化一下

另外，smalloc 兄说的是这篇贴子吗？
http://linux.chinaunix.net/bbs/viewthread.php?tid=901065

duanjigang

在桥上做跟IP相关的操作本来就是件不太好的事情，呵呵。我晚上回去试试

platinum

原帖由 duanjigang 于 2009-9-23 17:05 发表
在桥上做跟IP相关的操作本来就是件不太好的事情，呵呵。我晚上回去试试

duan 兄，假如有这样一个需求，就能派上用场了
比如：内容审计 + 内容过滤 + 上网认证
其中，内容审计和内容过滤在 hook 上直接做就行，上网认证弄个 hash table 就行
关键是要让不能上网的人对外的 HTTP 重定向到设备的 web 登录页面，登陆后方能上网

duanjigang

原帖由 platinum 于 2009-9-23 17:09 发表

duan 兄，假如有这样一个需求，就能派上用场了
比如：内容审计 + 内容过滤 + 上网认证
其中，内容审计和内容过滤在 hook 上直接做就行，上网认证弄个 hash table 就行
关键是要让不能上网的人对外的 HTTP  ...

呵呵，我回去先试试，直接把不能上网的人的请求都转到你的认证机器就可以了吧？
越高层协议，在bridge上越不好处理

platinum

原帖由 duanjigang 于 2009-9-23 17:16 发表

呵呵，我回去先试试，直接把不能上网的人的请求都转到你的认证机器就可以了吧？

对对对，就是这个需求
如果是路由或 NAT 模式就好办了，至少可以到内部 IP 栈，现在走 netfilter，实在不好处理

Godbach

原帖由 platinum 于 2009-9-23 17:18 发表

对对对，就是这个需求
如果是路由或 NAT 模式就好办了，至少可以到内部 IP 栈，现在走 netfilter，实在不好处理

呵呵，就是白金兄前段时间说的那个需求啊。现在已经开始进入实现阶段了。。。

smalloc

我发现前面说的不够严谨,还得想想...

然后就是异次元空间提到的在这里.只说了一句话.
哦,看记了,说的是桥式防火墙,不是桥式路由器.
http://linux.chinaunix.net/bbs/viewthread.php?tid=1036926

[ 本帖最后由 smalloc 于 2009-9-23 17:33 编辑 ]

duanjigang

原帖由 platinum 于 2009-9-23 17:18 发表

对对对，就是这个需求
如果是路由或 NAT 模式就好办了，至少可以到内部 IP 栈，现在走 netfilter，实在不好处理

报文转发不难，难点就是修改IP是否会生效，得试了再说
PS:我还没显示器，得赶到国庆节整台去，以前都是不给bridge配地址，现在为了能摸黑访问，得给它分个地址了

smalloc

我知道怎么做了.
不要ETH2.
你需要将br加IP,192.168.1.1.开ip_forward
在系统调用br_nf_pre_routing前加一个钩子,判断目的ip,目的端口,然后将目的mac转为br的MAC,这样数据包进入IP层.你加了那个nat后,就在本机处理完,然后出协议的包也可以直接走nat,走桥下发下来,直接会回到用户.

ip_forward要开吗?不清楚.

[ 本帖最后由 smalloc 于 2009-9-23 18:20 编辑 ]

dreamice

白金兄，用ebtables来做就OK了，这个是控制2层的，支持redirect。