router i blokowanie ruchu iptables

0chi0 · Post autor: **0chi0** » 24 czerwca 2015, 22:24

witajcie,
mam problem z przyblokowaniem ruchu z sieci LAN do sieci LAN,
LOKALNY - to interfejs VLAN
LAN - to podsieć 172.30.0.0/24

Kod: Zaznacz cały

$IPTABLES -F INPUT
$IPTABLES -P INPUT DROP
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i $LOKALNY -s $LAN -j ACCEPT

$IPTABLES -F OUTPUT
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -F FORWARD
$IPTABLES -P FORWARD DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $LOKALNY -s $LAN -j ACCEPT

Chce teraz zablokować hosta 172.30.0.22 z dostępem do całej podsieci 172.30.0.0/24

Robiłem regułki DROP w FWD przez i za ACCEPT - ruch dostępny (ICMP).
Gdzie czynie błąd ? Nazwę interfejsu podaje lokalnego, src oraz dst -p icmp ...

pawkrol · Post autor: **pawkrol** » 25 czerwca 2015, 07:42

Jeśli chcesz zablokować komputer w tej samej domenie rozgłoszeniowej, to połączenie odbywa się na poziomie 2 warstwy i w komunikacji nie bierze udział router.

Dlatego ustawianie regułek na nim nic Ci nie da.