иногда пишут

 # rpm -ihv bridge-utils-0.9.6-1.i386.rpm

(Что означают те или иные ключи, смотрите man rpm.)

Обладателям RPM-несовместимых дистрибутивов придётся немного посложнее, но для них имеется .tag.gz файл почти того же самого содержания. При установке программы из него у вас не должны возникнуть проблемы.

После установки можно попробовать создать новый мост. Придумаем нашему мосту разумное имя, пусть он будет называться bridge0 (можно давать имена без цифр, например, mybridge) и создадим его командой

 # brctl addbr bridge0

Имеющийся у нас мост следует закрепить, прояснив для себя, на какие берега он будет крепиться, другими словами, выделить сетевые интерфейсы, которые будут работать с мостом. Заметьте, что карточек в сервере может быть много и совсем необязательно все из них задействовать для организации моста. Вот она, гибкость Linux! В принципе можно организовать мост при различных конфигурациях и необязательно при этом должны быть реальные адреса, о чём я писал в начале статьи. Итак, для добавления интерфейсов eth0 и eth1 следует запустить команды:

 # brctl addif bridge0 eth0

 # brctl addif bridge0 eth0

Если что-то не будет получаться, то вызывайте помощь.

 # brctl --help

Далее следует поднять интерфейсы eth0 и eth1 так, чтобы они ловили все пакеты у себя в сегменте.

 # ifconfig eth0 0.0.0.0 promisc

 # ifconfig eth1 0.0.0.0 promisc

Давать интерфейсам какие-либо адреса не нужно. Это будет гарантией вашей безопасности. Если у нашего моста, в частности МЭ, нет адреса, то его и просканировать невозможно! Вот где прелесть этого метода. Я не говорю уже об атаках. Даже чтобы устроить syn-flood или какую-нибудь другую атаку на отказ в обслуживании, то надо будет очень постараться, и в конечном итоге при достаточной производительности мост будет жив и будет считать и фильтровать пролетающий через него трафик. Для конфигурирования можно использовать ещё одну доверенную сетевую карточку или делать это с консоли. В любом случае за такую высокую надёжность и безопасность можно заплатить ценой неудобного конфигурирования. Настраивать же правила для такого МЭ – одно удовольствие. При желании на МЭ можно установить систему обнаружения атак, скажем, тот же snort (www.snort.org), который сможет динамически отслеживать проходящий трафик и запускать нужный скрипт, способный переконфигурировать фильтр, добавляя или убирая правила в цепочках/таблицах iptables (ipchains). То есть можно динамически менять фильтрующую способность такой системы. Однако возможны и минусы: система может заблокировать или выкинуть нужные данные в случае ложного срабатывания. Далее я расскажу, как в ущерб безопасности можно получить удобства. Всё-таки я не про МЭ начинал писать, а про организацию моста и возможную пользу из этого, помимо экономии IP-адресов.

Далее можно поднять интерфейс нашего моста, присвоив ему один из IP-адресов из нашей сети. (Это разумно: зачем серверу иметь 2 адреса, если вы, уже опередивши, подумали вместо 0.0.0.0 для eth0 и eth1 прописать реальные адреса, то скажу, что работать с двумя адресами тоже будет, но один адрес будет явно «лишним».)

Сделать это просто: как обычно, запустите:

 # ifconfig mybridge x.x.x.2 netmask 255.255.y.y broadcast x.x.x.z up

далее работа компьютера ничем не будет отличаться от того, как если бы этот адрес был присвоен интерфейсу eth0.

Для фильтрации пакетов, проходящих через наш мост, используется цепочка FORWARD iptables. Если она у вас по умолчанию не имеет политику пропускания или явно не прописано, что разрешено, то мост у вас работать не будет. Для обработки пакетов доступны все возможности iptables.

Если у вас всё заработало, и вы не хотите каждый раз вручную поднимать мост при загрузке системы, то следующий скрипт для вас. Он делает всё вышеописанное в автоматическом режиме стандартным способом во время загрузки. Итак, файл называется bridge (вы можете назвать его по-другому), его следует поместить в директорию инициализационных скриптов /etc/rc.d/init.d.