Strona 2 z 2
: 08 września 2011, 22:03
autor: Bastian
Hehe, dobre z tą maską. Ostatni wpis Cyphermena to jest to czego potrzebuje autor wątku. Niemniej to są takie podstawy, że można to sobie wyczytać samemu :/
: 09 września 2011, 09:01
autor: robero
Dla pewności opiszę dokładniej sytuację.
1. Router przydziela adresy z dhcp dla 3 komputerów (serwer, komp1, komp2), jednak zawsze te same, zarezerwowane. Dzięki niemu wszystkie komputery potencjalnie mają dostęp do internetu.
2. serwer, ma mieć zero kontaktu ze światem, dostęp do niego (LMS) mają mieć tylko komp1 i komp2.
3 i 4 komp1 i komp2 mają dostęp do serwera i internetu.
Reguły dla Iptables serwera:
Kod: Zaznacz cały
iptables -P INPUT DROP
iptables -A INPUT -s 192.168.2.2/32 -j ACCEPT
iptables -A INPUT -s 192.168.2.3/32 -j ACCEPT
Wygląda na to że problem rozwiązany. Gdyby jednak ktoś miał uwagi to proszę.
Dziękuję za pomoc.
: 09 września 2011, 09:33
autor: Bastian
Jeśli "zero kontaktu ze światem" to bym jeszcze dał:
Kod: Zaznacz cały
iptables -P OUTPUT DROP
iptables -A INPUT -s localhost -j ACCEPT
iptables -A OUTPUT -d localhost -j ACCEPT
iptables -A OUTPUT -d 192.168.2.2 -j ACCEPT
iptables -A OUTPUT -d 192.168.2.3 -j ACCEPT
Albo lepiej, wykorzystałbym moduł state (ESTABLISHED)
: 09 września 2011, 13:00
autor: Cyphermen
robero, tylko weź pod uwagę, że teraz nie masz żadnego firewalla na swoją sieć LAN. Wszystko może do niej wpaść i wszystko wyjść w teorii bo przekierowanie (ang. forward) masz ,,akcept'' i żadnych reguł.
: 09 września 2011, 15:00
autor: Bastian
Cypherman, a to juz inna sprawa. Autor nie napisał w założeniach nic o LAN-ie. Może komputery klienckie mają własne firewalle.
: 09 września 2011, 16:00
autor: robero
W zasadzie to chciałem aby klienci mieli dostęp tylko do LMS-a na serwerze, ale nie mam pojęcia jak to napisać. Może wystarczy zablokować wszystkie porty oprócz 2029 z którego podobno korzysta LMS.
: 09 września 2011, 16:45
autor: Cyphermen
No to teraz masz wszystko przepuszczone dla tych stacji. Musiałbyś tam dodać jeszcze:
dla tych hostów.