iptables firewall + NAT istemci görünürlüğü

0

bağlam

İki ağım var, güvenilir: 10.0.1.0/24 ve güvenilmeyen: 10.0.2.0/24, aşağıdakileri yapan oldukça standart bir kurulum:

  • NAT / masq
  • her iki ağdaki konuklar internete bağlanabilir
  • her iki ağdaki konuklar da güvenlik duvarındaki servislere (dns, dhcp) bağlanabilir.

Şu anda, her iki ağdaki tüm konuklar, diğer konukları kendi ağlarında görebilirler.

Sorun

Hangi kural, güvenilmeyen ağdaki istemcilerin birbirlerini veya güvenilen ağdaki istemcileri görmesini engelleyebilir?

Örneğin 0.0.2.12, 10.0.2.13 veya 10.0.1.11'i görmemelidir.

Güvenilir ağdaki istemciler birbirlerini ve güvenilmeyen istemcileri görmelidir (şimdi çalışır).

firewall  iptables 
Wilbert
kaynak
Güvenilmeyen istemcilerin güvenilir istemciler görmesini engellemek kolaydır (güvenilmeyen istemcileri görmek için yine de güvenilir istemcilere ihtiyacınız varsa daha az kolaydır). Ne değil kolay birbirlerinin göremez güvenilmeyen istemci sahip olmaktır. PVLAN olarak adlandırılır ve katman 3'te (IP) çözülmez, ancak katman 2'de çözülür. 3. katman üzerinde çalışan iptables, çözüm yalnızca iptables ile yapılamaz. orada bilgi: en.wikipedia.org/wiki/Private_VLAN . “VLAN” ın sizi alakalı olmadığını düşünerek yanlış yönlendirmesine izin vermeyin. Bu hala bir kavramdır ve köprüler, VLAN'lar, ebtable ve / veya arptables gibi diğer araçları kullanmanız gerekebilir
AB
@AB Bir cevap yapın ve kabul edeceğim :)
Wilbert
O zaman (2 ilk "soru" için cevap ile) yapacak
AB

Yanıtlar:

1

Birinde üç sorunuz var. Tam yapılandırmaya sahip olmadığım için çalışabilecek ya da yapılandırmanıza uyarlanması gerekebilecek basit komutlar veriyorum.

  • Güvenilmez LAN'dan güvenli LAN'a erişim nasıl engellenir?

    iptables -A FORWARD -s  10.0.2.0/24 -d 10.0.1.0/24 -j DROP

Kendi kendini açıklayıcı: 10.0.2.0/24 kaynağından gelen paketler asla 10.0.1.0/24 tarihine kadar geçemez.

  • hala güvenli LAN'dan güvenilmeyen LAN'a erişime nasıl izin verilir?

    iptables -I FORWARD -s  10.0.2.0/24 -d 10.0.1.0/24 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 2 -s 10.0.1.0/24 -d 10.0.2.0/24 -j ACCEPT

Kullanımına dikkat -Ibirinci Sorunun yanıtında komutundan önce yerleştirilen bu komutları sahip olmak ve 2her zamanki düzeni sağlamak için. İkinci komut gerekli değildir, niyet vermek için buradadır ve ihtiyacınız olup olmadığına göre yapılandırmanıza bağlıdır. İlk komut , netfilterin conntrack özelliğini sorgulayarak, cevap paketlerinin güvenilmezden geri gelmesine izin verir . Bu, iki LAN arasında yalnızca daha önce güvenilirden güvenilir olmayandan başlatılan bağlantılar için işe yarar. Genellikle bu ilk komut bir kez global olarak yazılır (kullanmadan -sve -dbu iki LAN ile sınırlandırılmadan).

  • Güvenilmeyen ana bilgisayarların aynı LAN'daki diğer güvenilmeyen ana bilgisayarlardan erişimi nasıl engellenir?

İlk iki soru yönlendirici ile ele alınabiliyorken, katman 3: IP'de çalışılıyorken, son soru kolayca çözülemiyor: ana bilgisayarlar LAN'larında kendi aralarında yönlendirilmiyor (yani katman 3'te), bir katmanı paylaşıyorlar Anahtar gibi 2 ekipman ve bu seviyede çalışan aletler kullanılmalıdır. iptableskatman 3'te çalışmak tek başına kullanılamaz. İlgili izolasyon uygulamasına Özel VLAN denir . Bu özellik genellikle doğrudan ağ ekipmanlarına uygulanır.

Aynısı standart bir Linux sunucusunda yapılsaydı, bir anahtar gibi çalışması için çok sayıda ağ arayüzüne ihtiyaç duyardı (sanal ortamı yönetmek kolaylaşır, çünkü arayüzler eklemek ücretsizdir). Bunun için 2. kattaki güvenlik duvarı kullanılarak yapılır ebtables. İşte bu konuda bazı soru cevapları: https://unix.stackexchange.com/questions/12026/private-vlans-under-linux https://serverfault.com/questions/388544/is-it-possible-to enable bağlantı izolasyon-on-linux-köprü

Eğer Linux sunucusu sınırlı sayıda bağlantı noktasına sahipse, bu yüzden kendisi de anahtar olarak işlev görmüyorsa , tüm trafiği güvenilmeyen LAN'dan almak için bir yol ve kaynağını tanımlamak için her pakette biraz etiket olması ve muhtemelen anormal derecede yüksek bir sayı gerektirmesi gerekir. VLAN'lar ve yine de ağ ekipmanlarına özel yapılandırma.

AB
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.