LINUX.ORG.RU
ФорумAdmin

Самый надежный способ запретить исходящие конекты и запрет переопределения GW

 , , ,


0

2

Всем привет, помогите советом плиз

Используем Vagrant + VM (ubuntu, debian) у каждой вирт машины есть два адаптера.

eth0 eth1

оба подключены к разным рутерам (на каждом весит DHCP который дает ип и ГЕЙТ)

по умолчанию, после старта машины весь трафик валит через eth0

Задача: запретить любой исходящий трафик через eth0 в любом состоянии, и прописать eth1 главным гейтом в системе, причем довольно важно - чтобы ни один пакет не ушел через eth0 на любом этапе жизни вирт машины от старта до выключения.

дело в том что Vagrant требует чтобы eth0 всегда был NAT поэтому прописать как-то преманентно настройки не выйдет. поэтому собственно и вопрос, как в изначальный образ очень надежно запретить ихсодящие конекты через eth0 и после старта вирт машины, через provision (внутренний хук вагранта, стартует скрипт после старта машины) активировать рутинг через eth1?

Ответ на: комментарий от George

да это понятно, просто машинки тестовые. возможно на них буду тестировать iptables со всеми вытекающими, поэтому хотелось бы какоето 100%-ое решение.

x77cc33x
() автор топика
Ответ на: комментарий от x77cc33x

чтобы случайно не дропнуть это правило

x77cc33x
() автор топика
Ответ на: комментарий от dzirtt

а вот так делать не надо. маршрут через устройство не p2p — моветон!

vel ★★★★★
()

я бы сделал бриджи с именами eth0 и eth1, а сетевушки переименовал в eth0x & eth1x. Если нужно чтоб через какой-то реальный интерфейс не ходил трафик, то его нужно убрать из бриджа.

vel ★★★★★
()
Ответ на: комментарий от x77cc33x

100%-е решения:

  • Вышеописанный запрет в фаерволе
  • Убрать интерфейс из таблицы маршрутизации
  • Перевести интерфейс в перманентный даун

UPD: неплохо заодно почитать debian-овскую wiki или соответствующий man

George
()
Последнее исправление: George (всего исправлений: 1)
Ответ на: комментарий от George

Интересено, а возможна ситуация - что спустя время, eth0 обновит настройки через DHCP? и подхватит обратно свой гейт и пропишет его главным в системе? как об этом подстраховаться?

x77cc33x
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.