Blokowanie dwóch podsieci w iptables

xmicx1 · Post autor: **xmicx1** » 15 października 2009, 12:12

Witam.
Jak mogę w IPTABLES zablokować dostęp sieci LAN do DMZ i odwrotnie - ale pozostawiając jeden adres w DMZ otwarty dla LAN, ponieważ przez niego przechodzi ruch do internetu.

Sieci te działają na osobnych interfejsach. Powiedzmy, że LAN to adres 172.17.1.0/24, a DMZ to 190.50.50.0/24 (internet udostępnia adres 190.50.50.1)

Czy wystarczy taki wpis:

Kod: Zaznacz cały

iptables -A POSTROUTING -t nat -s 172.17.1.0/24 -d 190.50.50.1/32 -j ACCEPT
iptables -A POSTROUTING -t nat -s 172.17.1.0/24 -d 190.50.50.0/24 -j DROP
iptables -A POSTROUTING -t nat -s 190.50.50.1/32 -d 172.17.1.0/24 -j ACCEPT
iptables -A POSTROUTING -t nat -s 190.50.50.0/24 -d 172.17.1.0/24 -j DROP

bzyk · Post autor: **bzyk** » 15 października 2009, 12:40

Ta maska /32, według mnie jest niepotrzebna. I lepiej blokować w ,,FORWARD''.

xmicx1 · Post autor: **xmicx1** » 15 października 2009, 13:29

bzyk pisze:Ta maska /32, według mnie jest niepotrzebna. I lepiej blokować w ,,FORWARD''.

Dobrze, ale jak powinna wtedy wyglądać ta reguła, czy może być tak:

Kod: Zaznacz cały

iptables -A forward -i eth0 -s 172.17.1.0/24 -d ! 190.50.50.1/32 -j ACCEPT
iptables -A forward -i eth0 -s 172.17.1.0/24 -d 190.50.50.0/24 -j DROP

bzyk · Post autor: **bzyk** » 15 października 2009, 15:48

Kod: Zaznacz cały

iptables -A FORWARD -s 172.17.1.0/24 -d 190.50.50.1 -j ACCEPT
iptables -A FORWARD -s 172.17.1.0/24 -d 190.50.50.0/24 -j DROP

Pozostałe analogicznie do tej powyższej. Zwróć też uwagę czy nie masz czegoś innego w firewallu (jakiegoś -I), co skasuje ci tą regułę. Najlepiej wynik sprawdź za pomocą:

Kod: Zaznacz cały

 iptables -L -nv

W dużych sieciach bardziej elegancko jest robić ,,-j REJECT'' z odpowiednim komunikatem.

Kod: Zaznacz cały

man iptables