[Sysadmins] bridge для одной машины

[Anton Farygin]

Vladimir V. Kamarzin пишет:
>>>>>> On 10 Oct 2007 at 02:41 "AF" == Anton Farygin writes:
> 
>  AF> Есть такая картина:
>  AF> [host1]<->network1(ethernet)<->[host2]<->network2(ethernet)
> 
>  AF> нужно что бы host1 был по факту прозрачно доступен из network2, но при 
>  AF> этом машины из сети network1 никаким образом не видели трафик сети network2.
> 
>  AF> Т.е. - бридж, но на одну машину (потом ещё одна добавиться).
> 
>  AF> br0 на host2 поднял, всё работает. Теперь собственно вопрос: как на 
>  AF> host2 запретить пропускать через bridge весь трафик с network2, за 
>  AF> исключением того, который адресован host1. И аналогично в обратную 
>  AF> сторону - запретить весь трафик из network1 в network2, за исключением 
>  AF> трафика от host1.
> 
>  AF> Я так понимаю, что это делается с помощью ebtables. Но вот правила 
>  AF> что-то никак придумать не могу. Может быть если у кого-то какие-то идеи 
>  AF> или опыт постройки такого извращения ?
> 
> Да, нужно применить ebtables. Правила примерно такие:
> 
> ebtables -P FORWARD DROP
> 
> ebtables -A FORWARD -s "$mac" -p arp --arp-ip-src "$ip" -j ACCEPT
> ebtables -A FORWARD -s "$mac" -p IPv4 --ip-src "$ip" -j ACCEPT
> 
> ebtables -A check-dst -p arp --arp-ip-dst "$ip" -j ACCEPT
> ebtables -A check-dst -p IPv4 --ip-dst "$ip" -j ACCEPT
> 
> P.S. hiddenman кажется приделал поддержку ebtables в etcnet.
> 

Немного не так, но заработало:

-p IPv4 -s <mac> --ip-src <ip> -j ACCEPT
-p ARP -s <mac> --arp-ip-src <ip> -j ACCEPT
-p ARP -d <mac> --arp-ip-dst <ip> -j ACCEPT
-p IPv4 -d <mac> --ip-dst <ip> -j ACCEPT

Спасибо.