网桥数据可以被 REDIRECT 吗？

chenyx

白金版要转发到eth2的初衷是什么啊,说说吧,学习下

platinum

原帖由 chenyx 于 2009-9-25 09:18 发表
白金版要转发到eth2的初衷是什么啊,说说吧,学习下

因为之前这个机器是一个纯桥模式工作的，通过 eth2 去管理，机器上有 web 页面
现在用户可以通过 eth2 访问登录页面，但就差自动转向了，所以才引发了 REDIRECT 这个问题
实在惭愧，当初的设计可能就有缺陷，导致了这个问题

在风中飘荡

具体怎么实现，偶不涉及开发，固不大清楚，原理大概也是修改目标80的http数据包予以修改吧，和REDIRECT效果类似。

在风中飘荡

原帖由 chenyx 于 2009-9-25 09:18 发表
白金版要转发到eth2的初衷是什么啊,说说吧,学习下

其实有时候客户的拓扑涉及，防火墙与交换机之间子网掩码用/30表示如防火墙地址192.168.0.1/30，核心地址192.168.0.2/30，桥接后续接入延伸出来的问题，而后续的地址(192.168.0.3之后的地址)已被使用，跳转到其他地址，或者其他url是很现实的需求。

qingfeng18

1 数据转向是典型的代理用法
    在netfilter种基本上就是redirect，用于处理垃圾邮件、病毒过滤、数据缓存等基本上都是这么做
2 桥模式下的数据转向
    桥有IP时，iptables的转向语句可以直接生效
    桥无IP时，如果要实现转向，可以对内核打patch，就是对redirect代码修正一下，记忆相关的IP、MAC等
    桥无IP但有另外独立的网口设置IP，则patch时可以少做一些工作
3 认证功能
    相信已有认证代码实现，或者用radius机制及源代码
4 转向与认证的结合
    可以独立制作一个替换的html用于url的替换，使最终显示的页面是自定义的任何页面

总体来说，技术上都可以实现，难点在于2和4，如果2的实现不考虑性能，则基本没什么问题
具体关于2的实现，3年前做桥模式杀毒时实现过，具体的代码实现不一定找得到了

只是给大家来个技术定性，话说错请见谅。