Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Блокировка пакетов между подсетями  (Прочитано 1320 раз)

0 Пользователей и 1 Гость просматривают эту тему.

matstar

  • Автор темы
  • Гость
Уважаемое сообщество! Подскажите пожалуйста как настроить сети в Ubuntu сервер 12.10.
Имеем следующее:
Есть несколько сетевых интерфейсов
(Нажмите, чтобы показать/скрыть)

eth0 интернет (статический айпи)
eth1, eth2, eth3, eth4 - локальные сети

Настройки  sysctl.conf
(Нажмите, чтобы показать/скрыть)

настройки iptables.up.rules
(Нажмите, чтобы показать/скрыть)

Сейчас все интерфейсы видят друг друга и с любой подсети пингуются все остальные. Из любой сети есть доступ в интернет.

Задача:
1. Никакой связи между подсетями. Никто не должен видеть другие подсети.
2. eth1 доступ в интернет, DHCP. (локальная офисная сеть)
3. eth2 без доступа в интернет, DHCP.
4. eth3 доступ в интернет, DHCP. (гостевой доступ в интернет)
5. eth4 без доступа в интернет, DHCP.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Блокировка пакетов между подсетями
« Ответ #1 : 08 Апреля 2013, 18:54:45 »
1. Никакой связи между подсетями. Никто не должен видеть другие подсети.
sudo iptables -P FORWARD DROP
2. eth1 доступ в интернет (локальная офисная сеть)
sudo iptables -A FORWARD -i eth1 -s 192.168.4.0/24 -o eth0 -j ACCEPTхотя Вы это уже сделали.

3. eth2 без доступа в интернет
Уже всё сделано

4. eth3 доступ в интернет (гостевой доступ в интернет)
sudo iptables -A FORWARD -i eth3 -s 192.168.14.0/24 -o eth0 -j ACCEPT
5. eth4 без доступа в интернет
Уже всё сделано

А DHCP с блокировкой пакетов не связано и настраивать отдельно.

matstar

  • Автор темы
  • Гость
Re: Блокировка пакетов между подсетями
« Ответ #2 : 08 Апреля 2013, 20:20:21 »
Спасибо за ответ, все сделал по вашему совету.
(Нажмите, чтобы показать/скрыть)
1. после перезагрузки сети не поднимается eth0
2. к подсети 192.168.14.0/24 подключился по Wifi. Комп получил Ip из этой подсети по dhcp (например 192.168.14.25). С этого компа пингуются остальные интерфейсы (eth1,eth2,eth4). Т.е мы прибили транзитный трафик, но к самим интерфейсам доступ есть. Нужно ли (в целях безопасности) ограничить доступ к этим интерфейсам из других сетей и если да, то как это сделать?
 

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: Блокировка пакетов между подсетями
« Ответ #3 : 08 Апреля 2013, 23:07:45 »
1. Не имеет отношение к iptables. Смотрите состояние pre-up в interaces
2. Документация к netfilter https://ru.wikibooks.org/wiki/Iptables
OpenWrt 19.07

matstar

  • Автор темы
  • Гость
Re: Блокировка пакетов между подсетями
« Ответ #4 : 08 Апреля 2013, 23:53:11 »
Цитировать
1. Не имеет отношение к iptables. Смотрите состояние pre-up в interaces
Спасибо за очень обстоятельный ответ. Может я конечно не в той теме задаю свои вопросы, надо было задавать в теме для новичков, но хотелось бы понять что в pre-up не так. До этого всё работало. Если там есть какая то ошибка, то подскажите её пожалуйста.
Цитировать
2. Документация к netfilter https://ru.wikibooks.org/wiki/Iptables
Та же ситуация. Если Вам лень отвечать на вопрос, то можно было не отвечать вообще. Мне казалось что форум нужен для того что бы помогать людям разобраться в системе, а не посылать их. Эти статьи я читал, но разобраться досконально мне самому сложно, поэтому и прошу совета и разъяснений.
Если кто то может указать мне на мои ошибки и дать ответ с разъяснениями, то я буду очень благодарен. Все данные я дал в первом посте, если что то не хватает, то выложу.
P.S. KT315, Вы пишете хорошие Mini FAQ. может из этой темы тоже выйдет что то подобное, т.к. по настройке сервера и раздачи интернета для 2-х сетевых интерфейсов всего полно, а дальше ничего нет.
« Последнее редактирование: 09 Апреля 2013, 00:24:32 от matstar »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Блокировка пакетов между подсетями
« Ответ #5 : 09 Апреля 2013, 00:44:28 »
matstar, это форум помощи, а не обучения и настройки за вас.
Попробуйте сами хоть что-нибудь сделать, либо уже скажите "я этим заниматься не собираюсь, но готов заплатить".
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

matstar

  • Автор темы
  • Гость
Re: Блокировка пакетов между подсетями
« Ответ #6 : 09 Апреля 2013, 00:49:43 »
AnrDaemon,
Вот я  и прошу помочь мне разобраться. Можно не писать конкретно, а просто объяснить что не так.
Первый ответ был очень хороший. Я разобрался что не сделал и что делать дальше.
Теперь я не понимаю, что в этой строчке "pre-up iptables-restore < /etc/iptables.up.rules" стало не то. Интерфейс после перезагрузки всегда поднимался, а сейчас перестал. Кроме того, что вставить в "iptables.up.rules" строчку "-A FORWARD -i eth3 -s 192.168.14.0/24 -o eth0 -j ACCEPT" я больше ничего не делал.
Мне не надо писать что и куда конкретно вставить. Может можно объяснить обычными словами?
« Последнее редактирование: 09 Апреля 2013, 01:13:59 от matstar »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Блокировка пакетов между подсетями
« Ответ #7 : 09 Апреля 2013, 01:26:22 »
Если при перезагрузке интерфейс не поднимается, значит либо такого интерфейса нет, либо что-то случилось. Подробности всегда можно найти в /var/log/syslog
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: Блокировка пакетов между подсетями
« Ответ #8 : 09 Апреля 2013, 02:22:05 »
matstar, Вы ещё и не довольны? Однако...  :o
OpenWrt 19.07

matstar

  • Автор темы
  • Гость
Re: Блокировка пакетов между подсетями
« Ответ #9 : 09 Апреля 2013, 02:51:44 »

KT315,
Ну почему? Сейчас гораздо ближе. AnrDaemon ответил вполне нормально.
Цитировать
Если при перезагрузке интерфейс не поднимается, значит либо такого интерфейса нет, либо что-то случилось. Подробности всегда можно найти в /var/log/syslog

 

Страница сгенерирована за 0.058 секунд. Запросов: 25.