Как заблокировать входящий траффик с конкретного IP в NAT?

1

1

Доброго дня!

Есть железка с двумя сетевыми портами. Есть задачи построить на ее основе файрволл. Первый порт смотрит во внешку, второй порт смотрит во внутреннюю сеть. На первом порту включен Masquerade. Пользуюсь firewalld, но и iptables можно.

firewall-cmd –permanent –direct –add-rule ipv4 filter INPUT 0 -s 192.168.0.15/32 -j DROP

Блочит доступ к самой железке, однако к тем кто сидит за NAT доступ остается (проброшены порты)

firewall-cmd –permanent –direct –add-rule ipv4 filter FORWARD 0 -s 192.168.0.15/32 -j DROP

Не работает. Как решить?

Ссылка

←	Как получить IP адрес клиента при proxy_pass на localhost в пределах одного сервера

gitlab + redmine на apache2

→

Проще вего pfSense для таких задач. Через web-gui все настроить визуальными средствами, без геморроя.

Nike69
(16.04.20 11:18:21 MSK)

Ответ на: комментарий от Nike69 16.04.20 11:18:21 MSK

К сожалению, ограничен выбором дистрибутива. Только стандартный Дебиан.

antboroda
(16.04.20 11:20:13 MSK) автор топика

Ссылка

iptables -t raw -I PREROUTING -s 192.168.0.15 -j DROP
Но:
1. в современном дебе уже nftables, однако легаси должно сработать.
2. как это в firewalld я не знаю

anc ★★★★★
(16.04.20 11:31:59 MSK)
Последнее исправление: anc 16.04.20 11:35:27 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 16.04.20 11:31:59 MSK

Спасибо за ответ. Это работает, в firewalld команда выглядит так:

firewall-cmd –permanent –direct –add-rule ipv4 raw PREROUTING 0 -s 192.168.0.15/32 -j DROP

Но рвет траффик полностью, а мне бы отдельно блочить входящий, отдельно исходящий.

antboroda
(16.04.20 11:48:04 MSK) автор топика

Ответ на: комментарий от antboroda 16.04.20 11:48:04 MSK

Ну дальше по вкусу, добавляйте дополнительные условия. Полное описание прохождение описано в iptables tutorial.
Я привел пример когда точно и forward и input не будет работать не нагружая conntrack.

anc ★★★★★
(16.04.20 11:54:56 MSK)
Последнее исправление: anc 16.04.20 12:00:57 MSK (всего исправлений: 2)