06-07-2006, 02:36 PM
Ho appena finito di installare e configurare un "transparent bridge" tra una rete locale e una rete di dipartimento utilizzando OpenBSD come S.O. per il bridge. Quello che deve fare il bridge è filtrare le connessioni in uscita verso la lan dipartimentale (c'è una talpa all'interno della nostra lan 
) in modo da poter tenere "sotto controllo" le connessioni all'esterno.
Al momento il filtraggio all'esterno è fatto su due livelli:
- a livello 2 con brconfig che lascia uscire solo i pacchetti provenienti da pc con un mac address riconosciuto come affidabile (e una volta che ha superato questo controllo "tagga" i pacchetti sempre su base mac come "unrestricted user" o "restricted user")
- a livello 3/4 con pf che sulla base del tag assegnato ai pacchetti applica le opportune policies.
Veniamo adesso al domandone.... Premetto che non ho grossa esperienza con i sistemi BSD, quindi potrebbe essere una domanda scema.... nel caso non insultatemi troppo!
Vorrei sapere se c'è qualche modo per poter controllare in modo efficiente anche il payload dei datagrammi ip e/o dei pacchetti tcp/udp in uscita a livello kernel, e sulla base di alcuni rilevamenti poter decidere di "droppare" il pacchetto incriminato (un po' come fa con pf).
) in modo da poter tenere "sotto controllo" le connessioni all'esterno.Al momento il filtraggio all'esterno è fatto su due livelli:
- a livello 2 con brconfig che lascia uscire solo i pacchetti provenienti da pc con un mac address riconosciuto come affidabile (e una volta che ha superato questo controllo "tagga" i pacchetti sempre su base mac come "unrestricted user" o "restricted user")
- a livello 3/4 con pf che sulla base del tag assegnato ai pacchetti applica le opportune policies.
Veniamo adesso al domandone.... Premetto che non ho grossa esperienza con i sistemi BSD, quindi potrebbe essere una domanda scema.... nel caso non insultatemi troppo!
Vorrei sapere se c'è qualche modo per poter controllare in modo efficiente anche il payload dei datagrammi ip e/o dei pacchetti tcp/udp in uscita a livello kernel, e sulla base di alcuni rilevamenti poter decidere di "droppare" il pacchetto incriminato (un po' come fa con pf).