jak funguje bridge?

[Petr Matousek]

zdravim,

chtel bych poprosit o radu v nasledujici veci. mam domaci "server" s 
freebsd 7.2-RELEASE. mam dve zabridgovane sitovky, jedna je hostap (ath0) 
a druha (re0) pripojena k routeru. snazim se dobre nastavit firewall (pf) 
a taky pochopit, jak funguje filtrovani, kdyz je zapnuty bridge -) na re0 
mi bezi nejake standardni sluzby (dns, smb, nfs, http(s), imap, pop3, 
smtp) a mam nastavena pravidla pro pristup. dhcp server bezi na routeru (a 
ten je pres kabelovy modem pripojeny k Siti).

ceho chci dosahnout? rad bych, aby se mi traffic v bridgi duplikoval na 
obe sitovky a az po duplikaci dochazelo k filtrovani na jednotlivych 
interfacech. na ath0 chci mit vse povoleno, protoze chci, aby se o 
filtrovani starali jednotlivi klienti napojeni na apcko. na re0 ale zase 
chci mit povolene jen nektere sluzby.

momentalne mam problem s tim, ze pokud nepovolim na re0 sluzby, ktere chci 
mit pristupne i u klientu pripojenych na ath0, tak to nefunguje. pomuze 
mi, kdyz nastavim net.link.bridge.pfil_member na 0? bude pak dochazet vubec k 
nejakemu filtrovani na re0?

moje predstava o bridgovani je takova, ze:
 	1. prijde paket na re0
 	2. vezme ho if_bridge, pomoci pfilu (pri nastavenych sysctl)
            zavola pf na prichozim (re0), odchozim (ath0) a bridge
            interfacu (bridge0).
            pokud mam pfil_member a pfil_bridge na 0, paket projde
         4. ulozi se do fronty na re0 a ath0 (duplikace)
         5. zavola se na paket pf (re0)
         6. zavola se na druhy paket pf (ath0)
         7. pakety se zpracuji ...

kdyz by to fungovalo takto, stacilo by nastavit pfil_member a pfil_bridge 
na 0 a dochazelo by k duplikaci paketu a zaroven by doslo i k filtrovani. 
jenomze od bodu 5 dal to tak asi nefunguje, ze? -)


dekuji za rady,
-pm