Regu

[Bastian]

Hehe, dobre z tą maską. Ostatni wpis Cyphermena to jest to czego potrzebuje autor wątku. Niemniej to są takie podstawy, że można to sobie wyczytać samemu :/

[robero]

Dla pewności opiszę dokładniej sytuację.
1. Router przydziela adresy z dhcp dla 3 komputerów (serwer, komp1, komp2), jednak zawsze te same, zarezerwowane. Dzięki niemu wszystkie komputery potencjalnie mają dostęp do internetu.
2. serwer, ma mieć zero kontaktu ze światem, dostęp do niego (LMS) mają mieć tylko komp1 i komp2.
3 i 4 komp1 i komp2 mają dostęp do serwera i internetu.

Reguły dla Iptables serwera:

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -A INPUT -s 192.168.2.2/32 -j ACCEPT
iptables -A INPUT -s 192.168.2.3/32 -j ACCEPT

Wygląda na to że problem rozwiązany. Gdyby jednak ktoś miał uwagi to proszę.

Dziękuję za pomoc.

[Bastian]

Jeśli "zero kontaktu ze światem" to bym jeszcze dał:

Kod: Zaznacz cały

iptables -P OUTPUT DROP
iptables -A INPUT -s localhost -j ACCEPT
iptables -A OUTPUT -d localhost -j ACCEPT
iptables -A OUTPUT -d 192.168.2.2 -j ACCEPT
iptables -A OUTPUT -d 192.168.2.3 -j ACCEPT

Albo lepiej, wykorzystałbym moduł state (ESTABLISHED)

[Cyphermen]

robero, tylko weź pod uwagę, że teraz nie masz żadnego firewalla na swoją sieć LAN. Wszystko może do niej wpaść i wszystko wyjść w teorii bo przekierowanie (ang. forward) masz ,,akcept'' i żadnych reguł.

[Bastian]

Cypherman, a to juz inna sprawa. Autor nie napisał w założeniach nic o LAN-ie. Może komputery klienckie mają własne firewalle.

[robero]

W zasadzie to chciałem aby klienci mieli dostęp tylko do LMS-a na serwerze, ale nie mam pojęcia jak to napisać. Może wystarczy zablokować wszystkie porty oprócz 2029 z którego podobno korzysta LMS.

[Cyphermen]

No to teraz masz wszystko przepuszczone dla tych stacji. Musiałbyś tam dodać jeszcze:

Kod: Zaznacz cały

dport 2029

dla tych hostów.