Изолировать сеть хостов с помощью iptables

Я хочу изолировать хост в своей домашней интрасети, используя iptables на моем маршрутизаторе linux. Например, скажем, у меня есть хост, у которого есть IP 10.0.1.50 и я хочу, чтобы он мог разговаривать с остальной частью Интернета, но я не хочу, чтобы маршрутизатор позволял ему разговаривать с любым другим хостом в 10.0.1.0/24 . Тем не менее, я хочу, чтобы хосты в 10.0.1.0/24 могли подключаться к 10.0.1.50 на порту 80 только до тех пор, пока соединение не будет создано на хосте. Я делаю это в случае, если 10.0.1.50 скомпрометирован, поэтому он не может разговаривать с остальной частью моей сети.

2 Solutions collect form web for “Изолировать сеть хостов с помощью iptables”

Скорее всего, вы ошибаетесь. Ваш маршрутизатор не может помешать 10.0.1.50 разговаривать с остальной 10.0.1.0/24 подсети 10.0.1.0/24 , потому что они находятся в одной подсети . Пакет с 10.0.1.50 на другой хост в этой подсети не пройдет через маршрутизатор, поэтому вы не можете его фильтровать.

Что вам нужно сделать, так это настроить отдельную подсеть, скажем, например 192.168.0.0/24 и поместить 10.0.1.50 в эту подсеть, например, с новым IP 192.168.0.50 . Затем подключите эту подсеть к отдельному интерфейсу вашего маршрутизатора и настройте этот интерфейс на IP-адрес, например 192.168.0.1 . Затем вы можете настроить свои правила маршрутизации по своему усмотрению:

  • Разрешить установленные и связанные подключения
  • Разрешить 10.0.1.0/24 подключаться к Интернету.
  • Разрешить 192.168.0.0/24 для подключения к Интернету.
  • Разрешить подключения с 10.0.1.0/24 до 192.168.0.50:80
  • Откажитесь от всего остального

Чтобы сделать это, вы должны запретить слой 3, а не слой 4, или если вы сделаете это в слое 4, вы должны определить новую подсеть.

  • Недопустимые флаги iptables multiple -d
  • отладка iptables при туннелировании одной VPN через другую
  • PPTP через IP-таблицы
  • Сервер Linux как маршрутизатор - проблема
  • Linux + iptables резервный
  • Если возможно установить постоянную настройку маршрутизации для всех ip-пакетов на определенный IP-адрес?
  • В iptables, в чем разница между целями DNAT и REDIRECT?
  • Отклонить ssh-соединения из прокси
  • Что помещает TCPMSS в iptables?
  • Порт не добавлен в iptables
  • Необходимость эксперта IPTables, возможно, со знанием модуля u32
  • Netcat не работает на Linux-сервере, работающем в сети VPN
  • Linux и Unix - лучшая ОС в мире.