Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

iptables i blokoda przekierowania ruchu mi

https://www.debian.pl/viewtopic.php?t=14096

Strona 1 z 1

iptables i blokoda przekierowania ruchu między pulą...

: 16 czerwca 2009, 17:25
autor: raczkowski1
Witam.
Mam serwer rozdzielający sygnał i kilka pul adresów IP, 3 prywatne pule i jedną pulę publiczną oraz adres od ICP.
Niby wszystko działa a wygląda tak:
  • LAN1 = 192.168.100.0/24
    LAN2 = 192.168.10.0/24
    LAN3 = 192.168.99.0/24
    LAN_PUB = 195.2.xyz.xyz
    WAN = 217.xxx.xxx.xxx
Z LAN1, LAN3 i LAN2 mogę pingować, korzystać z serwerów www, ftp itd w sieci LAN_PUB (tu jest dobrze).
Z LAN2 do LAN1 tak samo jak powyżej i na odwrót.
Z LAN2 do LAN3 tak samo jak powyżej i na odwrót.

Ale z LAN_PUP też mogę pingować sieci prywatne oraz korzystać z ich serwerów np. www.

Mam pytanie jak mam zablokować przekierowywanie pakietów z LAN1 i LAN_PUB do LAN2 tak żebym w drugą stronę nie miał blokady?

Próbowałem:

Kod: Zaznacz cały

/sbin/iptables -t filter -A FORWARD -s 195.2.xyz.xyz/xx -d 192.168.10.0/24 -j DROP
Ale zablokowało mi to w obie strony.

Poniżej część polityk firewalla odnośnie przekierowania ruchu:

Kod: Zaznacz cały

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds 
DROP       udp  --  anywhere             anywhere            udp dpt:microsoft-ds 
DROP       tcp  --  anywhere             anywhere            tcp dpt:loc-srv 
DROP       udp  --  anywhere             anywhere            udp dpt:loc-srv 
DROP       tcp  --  anywhere             anywhere            tcp dpt:netbios-ns 
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-ns 
DROP       tcp  --  anywhere             anywhere            tcp dpt:netbios-dgm 
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-dgm 
DROP       tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn 
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-ssn 
DROP       all  --  195.2.YYY.YYY/23       192.168.100.0/24    
DROP       tcp  --  komputer1            anywhere            #conn/32 > 100 
DROP       tcp  --  195.2.YYY.YYX        anywhere            #conn/32 > 1000 
DROP       tcp  --  adres_serwisowy      anywhere            #conn/32 > 100 
ACCEPT     all  --  adres_serwisowy      anywhere            
ACCEPT     all  --  anywhere             adres_serwisowy                 #siec 192.168.100.0
ACCEPT     all  --  192.168.10.100       anywhere            
ACCEPT     all  --  anywhere             192.168.10.100      
ACCEPT     all  --  komputer1            anywhere                         # siec 192.168.10.0
ACCEPT     all  --  anywhere             komputer1           
ACCEPT     all  --  192.168.10.224/27    anywhere                            #dhcp pula
ACCEPT     all  --  anywhere             192.168.10.224/27
Z góry dziękuję za pomoc.

Re: iptables i blokoda przekierowania ruchu między pulą...

: 17 czerwca 2009, 15:33
autor: mariaczi
raczkowski1 pisze: Próbowałem:

Kod: Zaznacz cały

/sbin/iptables -t filter -A FORWARD -s 195.2.xyz.xyz/xx -d 192.168.10.0/24 -j DROP
Ale zablokowało mi to w obie strony.
Dodaj do tego parametry: -i oraz -o podajac po nich odpowiednie interfejsy.

: 19 czerwca 2009, 00:08
autor: raczkowski1
Niestety, dalej blokuje w obie strony.

: 19 czerwca 2009, 14:57
autor: mariaczi
Hm. Sprobuj moze uzyc modulu state i dropowac w odpowiednia strone polaczenia NEW, a reszte akceprowac.
[ot] Staram sie nakierowac wg teorii. W praktyce nie mialem okazji konfigurowac. :)
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl