iptables: trennt die Kunden voneinander

552
Florian Lagg

Gibt es eine Möglichkeit, Clients in einem Subnetz so zu trennen, dass sie sich nicht erreichen können?

Die Infrastruktur sieht aktuell so aus:

  • 192.168.0.1/24 Gateway, eine CentOS-Box mit iptables.
  • 192.168.0.10-20 Einige Clients, die sich gegenseitig erreichen können
  • 192.168.0.30 Ein einzelner Client welcher
    • sollte die Hosts 192.168.0.10-20 nicht erreichen können
    • sollte in der Lage sein, das Gateway und das Internet zu erreichen

Ich weiß nicht, ob es möglich ist, vielleicht könnten Sie mir Ihre Ideen mitteilen, wie dies geschehen könnte. Ich kann die Maschine nicht beeinflussen 192.168.0.30, weil sie eine virtuelle Maschine ist, die ich an jemanden vermieten möchte. Vielen Dank.

0

1 Antwort auf die Frage

1
Ignacio Vazquez-Abrams

Die Regel, die Sie in Ihrer FORWARD-Kette brauchen, lautet:

iptables <insert spec> -s 192.168.0.30 --dst-range 192.168.0.10-20 -j REJECT --reject-with icmp-host-prohibited

<insert spec>hängt von den bestehenden Regeln ab. Weitere Informationen finden Sie in der Ausgabe von iptables -Lund auf der iptables(8)Manpage.

Danke für die Antwort - aber wie könnte ich verhindern, dass der Host die 10-20 Hosts direkt erreicht? Normalerweise wird dies nicht über die Standardroute übertragen - die Firewall sollte diese Pakete normalerweise nicht sehen. Gibt es eine einfache Lösung oder muss ich das Netzwerk in VLANs trennen und diese über die Firewall überbrücken? Florian Lagg vor 13 Jahren 0

Verwandte Probleme