Изолировать сеть хостов с помощью iptables

Я хочу изолировать хост в своей домашней интрасети, используя iptables на моем маршрутизаторе linux. Например, скажем, у меня есть хост, у которого есть IP 10.0.1.50 и я хочу, чтобы он мог разговаривать с остальной частью Интернета, но я не хочу, чтобы маршрутизатор позволял ему разговаривать с любым другим хостом в 10.0.1.0/24 . Тем не менее, я хочу, чтобы хосты в 10.0.1.0/24 могли подключаться к 10.0.1.50 на порту 80 только до тех пор, пока соединение не будет создано на хосте. Я делаю это в случае, если 10.0.1.50 скомпрометирован, поэтому он не может разговаривать с остальной частью моей сети.

  • Перенаправление пакетов и сохранение содержимого на диск
  • Связывание двух широкополосных соединений для обслуживания LAN в качестве шлюза
  • Что делают дублирующие правила iptables?
  • redsocks в частной сети
  • Fedora 25: настройки firewalld не вступят в силу
  • Команда IPtables показывает, что libipt_random.so отсутствует
  • Список правил iptables как команда добавления
  • PPTP VPN не работает с маршрутизатором Linux
  • 2 Solutions collect form web for “Изолировать сеть хостов с помощью iptables”

    Скорее всего, вы ошибаетесь. Ваш маршрутизатор не может помешать 10.0.1.50 разговаривать с остальной 10.0.1.0/24 подсети 10.0.1.0/24 , потому что они находятся в одной подсети . Пакет с 10.0.1.50 на другой хост в этой подсети не пройдет через маршрутизатор, поэтому вы не можете его фильтровать.

    Что вам нужно сделать, так это настроить отдельную подсеть, скажем, например 192.168.0.0/24 и поместить 10.0.1.50 в эту подсеть, например, с новым IP 192.168.0.50 . Затем подключите эту подсеть к отдельному интерфейсу вашего маршрутизатора и настройте этот интерфейс на IP-адрес, например 192.168.0.1 . Затем вы можете настроить свои правила маршрутизации по своему усмотрению:

    • Разрешить установленные и связанные подключения
    • Разрешить 10.0.1.0/24 подключаться к Интернету.
    • Разрешить 192.168.0.0/24 для подключения к Интернету.
    • Разрешить подключения с 10.0.1.0/24 до 192.168.0.50:80
    • Откажитесь от всего остального

    Чтобы сделать это, вы должны запретить слой 3, а не слой 4, или если вы сделаете это в слое 4, вы должны определить новую подсеть.

    Interesting Posts
    Linux и Unix - лучшая ОС в мире.