Изолировать сеть хостов с помощью iptables

Я хочу изолировать хост в своей домашней интрасети, используя iptables на моем маршрутизаторе linux. Например, скажем, у меня есть хост, у которого есть IP 10.0.1.50 и я хочу, чтобы он мог разговаривать с остальной частью Интернета, но я не хочу, чтобы маршрутизатор позволял ему разговаривать с любым другим хостом в 10.0.1.0/24 . Тем не менее, я хочу, чтобы хосты в 10.0.1.0/24 могли подключаться к 10.0.1.50 на порту 80 только до тех пор, пока соединение не будет создано на хосте. Я делаю это в случае, если 10.0.1.50 скомпрометирован, поэтому он не может разговаривать с остальной частью моей сети.

  • Нет интернет даже с iptables ПРИНИМАЕТ все
  • DROP все для порта 22, если не geoip набор из США для iptables и xtables
  • Почему это правило iptables блокирует мой веб-сервер?
  • Перенаправление SSH на другой внутренний порт
  • iptables не сохраняется? CentOS
  • почему репозиторий debian не содержит lokkit?
  • Радиолюбитель Whiptail
  • Нужно ли настраивать IP-таблицы или достаточно автономного брандмауэра?
  • 2 Solutions collect form web for “Изолировать сеть хостов с помощью iptables”

    Скорее всего, вы ошибаетесь. Ваш маршрутизатор не может помешать 10.0.1.50 разговаривать с остальной 10.0.1.0/24 подсети 10.0.1.0/24 , потому что они находятся в одной подсети . Пакет с 10.0.1.50 на другой хост в этой подсети не пройдет через маршрутизатор, поэтому вы не можете его фильтровать.

    Что вам нужно сделать, так это настроить отдельную подсеть, скажем, например 192.168.0.0/24 и поместить 10.0.1.50 в эту подсеть, например, с новым IP 192.168.0.50 . Затем подключите эту подсеть к отдельному интерфейсу вашего маршрутизатора и настройте этот интерфейс на IP-адрес, например 192.168.0.1 . Затем вы можете настроить свои правила маршрутизации по своему усмотрению:

    • Разрешить установленные и связанные подключения
    • Разрешить 10.0.1.0/24 подключаться к Интернету.
    • Разрешить 192.168.0.0/24 для подключения к Интернету.
    • Разрешить подключения с 10.0.1.0/24 до 192.168.0.50:80
    • Откажитесь от всего остального

    Чтобы сделать это, вы должны запретить слой 3, а не слой 4, или если вы сделаете это в слое 4, вы должны определить новую подсеть.

    Linux и Unix - лучшая ОС в мире.