iptables: pisahkan klien dari satu sama lain

0

apakah ada cara untuk memisahkan klien dalam subnet sehingga mereka tidak dapat saling menjangkau?

Infrastruktur saat ini terlihat seperti ini:

  • 192.168.0.1/24 Gateway, kotak CentOS dengan iptables.
  • 192.168.0.10-20 Beberapa klien yang dapat saling menjangkau
  • 192.168.0.30 Satu klien yang
    • seharusnya tidak dapat mencapai host 192.168.0.10-20
    • harus dapat mencapai gateway dan internet

Saya tidak tahu apakah itu mungkin, mungkin Anda bisa memberi saya ide Anda bagaimana itu bisa dilakukan. Saya tidak dapat memengaruhi mesin 192.168.0.30 karena ini adalah mesin virtual yang ingin saya sewa kepada seseorang. Terima kasih.

security iptables subnet Florian Lagg
sumber

Jawaban:

1

Aturan yang Anda butuhkan dalam rantai FORWARD Anda adalah:

iptables <insert spec> -s 192.168.0.30 --dst-range 192.168.0.10-20 -j REJECT --reject-with icmp-host-prohibited

<insert spec>tergantung aturan yang ada. Lihat output iptables -Ldan iptables(8)halaman manual untuk lebih jelasnya.

Ignacio Vazquez-Abrams
sumber
Terima kasih atas jawabannya - tetapi bagaimana saya bisa menghindari host mencapai 10-20 host secara langsung? Biasanya ini tidak ditransfer melalui rute default - jadi firewall seharusnya tidak melihat paket-paket ini secara normal. Apakah ada solusi mudah atau apakah saya harus memisahkan Jaringan ke VLAN dan menjembatani mereka di firewall?
Florian Lagg