Снятие тэгов vlan с помощью ebtables или чего-нибудь другого в linux

Question

[weirded]

Собственно, реально ли?

Задача стоит такая — через сервер идёт зеркало трафика, изначально для этого сервера не предназначенного, среди которого огромное множество vlan. Каких конкретно — роли не играет, потому как задача стоит просто анализировать этот трафик с помощью iptables. Просто не хочется заниматься велосипедостроением и начинать писать для этого модуль для ebtables.

Answer 1

[Сергей Петриков]

Если я Вас понял правильно, то необходима обработка виланов внутри бриджа фаирволом, за это отвечает опция sysctl:
net.bridge.bridge-nf-filter-vlan-tagged=1

Comments

[Ilya Evseev]

От этого Линукс не станет видеть любой тегированный трафик. Потребуется поднимать vlan-интерфейс, только после этого iptables что-то увидит.

Answer 2

[Ilya Evseev]

В чем должен заключаться анализ?
iptables всё-таки не для анализа, а для фильтрации.
Формально тут ему делать нечего, т.к. трафик зеркалированный.

Comments

[weirded]

Пара-тройка заголовков пары-тройки протоколов и MitM (фэйковый ответ) в случае матчинга. iptables не спорю, что в целом это ошибка и не очень удобное место для того, чтобы там это всё проводить, и по уму хватать надо куда раньше.

Пока что это просто удобный способ не изобретать iptables внутри какого-нибудь userspace приложения для того чтобы как можно раньше дропнуть лишний трафик.