Paketfilter für Bridge

Hi markus

der Paketfilter filter Pakete anhand der IP Adresse - eine Bridge interessieren IP Pakete so garnicht - die schickt einfach alles auf die andere Seite, sobald sie eine passende MAC-Adresse auf der anderen Seite gefunden hat oder ein Broadcast rüber soll.

Einen MAC-Filter gibts nicht für die Astaro, aber wozu auch. 

Mir fällt im Moment kein guter Grund ein, einen Port auf der Astaro zu bridgen aber da gibts bestimmt auch gute Gründe dafür.

Warum willst du ein Interface für dich alleine ? Definiere dir ein eigenes Netz für Management und pack es als Additional Adress auf das Interface - bitte - oder beschränke das Management auf eine einzige IP-Nummer, aber gleich ein ganzes Interface dafür hergeben wäre Verschwendung.

Gruß Stefan

Falls die Bridge Funktionalität in der AStaro genutzt wird, müssen auch entsprechende Packetfilter Regeln definiert werden, damit die Pakete von der einen Seite auf die andere kommen.

Da sich auf beiden Seiten die gleichen IP befinden, kann ich so sozusagen eine Abschottung einzelner Systeme errreichen, ohne die IP zu ändern. 

Packet filter Regeln kann ich sozuagen auf das Bridge Interface einstellen, indem ich die Definitionen für die Hosts/Netze auf nur das Bridge Interface einstelle.

Sven

Hi Sven!

Danke, genau um das gehts, jetzt stellt sich nur die Frage, wie weise ich im Paketfilter die Regeln für die Bridge zu!?..

wenn du eine network definition  anlegst kannst du das interface auswählen für welches diese definition gelten soll. beachte bitte, dass dabei das bridge interface eine ip brauch (unter network->Interfaces kannst du das bridge interface wie ein normales eth interface einrichten)

@Stefan: 
Oh, es gibt einen sehr guten Grund, einen Port auf ner Astaro zu bridgen und der heisst RED [;)]

Du kannst bspw. das RED interface ins lokale LAN bridgen und somit erreichen, dass Deine Aussenstellen "flach" im Netz sind.

Weiterhin kann dieser Modus bei Teststellungen Sinn machen (in und out bridgen, zwischenhängen ohne das Rounting zu ändern), beispielsweise als IPS oder auch als transparenter Proxy (denn auf der Bridge geht meines Wissens nach sogar transparentes content filtering).

Hallo Christian,

kannst du mir Sagen, wie ich dieses Bridging beim RED Device einstellen muss.
Ich habe gerade aktiv das Problem.
Red device beim Kunden.
Das Red Netzwerk hat einen eigenen IP Adress Kreis.
Jetzt kann ich die IP Telefone der Panasonic anlage nicht Benutzen , da die Panasonic Telefonanlage nur Adressauflösung via ARP beherrscht.
Jetzt möchte ich sowas einrichten, wie du gesagt hast, damit die Astaro dazwischen Transparent wird und ich die Arp Requests bis ans endgerät bekomme.

Hi Marcel,

Du musst dazu aus der ASG alles rausfrickeln, was mit dem RED Subnetz zu tun hat, also den DHCP Server deaktivieren und das Interface samt IP Adresse löschen.
Dann erzeugst Du zwischen dem internen Netzwerk (oder welches Netzwerk auch immer das ist, in dem die Panasonic ist) und dem nun freien Interface reds1 eine Bridge. Das sollte dann schon alles sein.

Achso, falls Du QoS aktiv haben solltest, dann date bitte vorher auf 7.505 up.

LG
Christian

Hallo Christian,

die Panasonic steht im internen Netz.
Vielen Lieben Dank wenn das Klappt , dann hast du mir nicht nur den Tag gerettet sondern die ganze Woche [:)]
Ich lösch jetzt mal alles raus.
Und dann hoffe ich, dass sich die Telefone vom internen W2003 DHCP eine IP schnappen.

Hallo christian,

kurze frage noch beim Bridging wähle ich ja nur ausgewählte netzwerkkarten Bridgen.
Dort Wähle ich das Reds1 interface aus aber ich kann das interne Netzwerk nicht auswählen.
Müsste ich jetzt her gehen und irgend einen anderen Anschluss nehmen und diesen dann ins interne Lan Patchen ?

Bridge selected NICs + convert interface (dann das lokale Interface auswählen) sollte funktionieren.
Sonst Deinen Ansatz verfolgen. 

Brauchst Du jetzt noch die Lieferadresse für das Fass Guinness [;)] ?