iptables: отдельные клиенты друг от друга

498
Florian Lagg

Есть ли способ разделить клиентов в подсети, чтобы они не могли связаться друг с другом?

Инфраструктура в настоящее время выглядит так:

  • 192.168.0.1/24 Шлюз, коробка CentOS с iptables.
  • 192.168.0.10-20 Некоторые клиенты, которые могут связаться друг с другом
  • 192.168.0.30 Один клиент, который
    • не должен быть в состоянии достичь хостов 192.168.0.10-20
    • должен быть в состоянии добраться до шлюза и интернета

Я не знаю, возможно ли это, возможно, вы могли бы дать мне свои идеи, как это можно сделать. Я не могу влиять на машину 192.168.0.30, потому что это виртуальная машина, которую я хочу арендовать кому-то. Благодарю.

0

1 ответ на вопрос

1
Ignacio Vazquez-Abrams

Правило, которое вам нужно в вашей цепочке FORWARD:

iptables <insert spec> -s 192.168.0.30 --dst-range 192.168.0.10-20 -j REJECT --reject-with icmp-host-prohibited

<insert spec>зависит от существующих правил. Смотрите вывод iptables -Lи iptables(8)страницу руководства для более подробной информации.

Спасибо за ответ - но как я могу избежать того, чтобы хост достиг 10-20 хостов напрямую? Обычно это не передается по маршруту по умолчанию - поэтому брандмауэр не должен нормально видеть эти пакеты. Есть ли простое решение или мне нужно разделить сеть на VLAN и соединить их через брандмауэр? Florian Lagg 14 лет назад 0

Похожие вопросы