Как правильно заблокировать доступ к подсети для клиента

bridge, network, openvswitch, коммутатор

0

1

У меня есть две виртуалки:

pfSense: WAN + LAN (10.0.0.1/23)
client: 10.0.1.1

Мне нужно, чтобы клиент мог ходить в интернет, но не иметь доступа к другим компьютерам с IP начиная с 10.0.0.2 и заканчивая 10.0.1.255. Насколько мне пояснили, такое можно сделать только с помощью умного коммутатора. В моём случае вместо коммутатора – linux bridge. Он умеет такое? Если да, подскажите, что почитать, чтобы сходу всё взять и настроить? Если нет, то openvswitch точно должен уметь, потому посоветуйте инструкцию по настройке OVS!

Ссылка

←	пинг к порту сайта как проверить?

Пробрасываю видеокарту в QEMU/KVM

→

Я не настоящий админ, но чем тебя не устраивает прикрыть доступ огненной стеной? Как минимум, как быстрое решение имхо - норм.

pon4ik ★★★★★
(02.03.22 13:31:07 MSK)

Ответ на: комментарий от pon4ik 02.03.22 13:31:07 MSK

Тем более - что твоя хотелка это ограничение на уровне IP.

pon4ik ★★★★★
(02.03.22 13:32:30 MSK)

Ссылка

linux bridge - умеет фильтровать на уровне L3

Глобально sysctl net.bridge.bridge-nf-call-iptables=1 Для бриджа sysctl net.br0.bridge.nf_call_iptables=1

и вперед в средствами iptables filter/FORWARD -i br0 -o br0 фильтровать.

vel ★★★★★
(02.03.22 14:45:01 MSK)

Ссылка

offload сломаешь же

~~naKovoNapalBaran~~ ★
(02.03.22 14:58:27 MSK)

Ответ на: комментарий от naKovoNapalBaran 02.03.22 14:58:27 MSK

Само собой, но как иначе?

~~AVL2~~ ★★★★★
(02.03.22 15:03:02 MSK)

Ссылка

на порте клиента все входящие делать принудительно vlan id, исходящие пропускать только с vlan id и убирать тег, интерфейсу vlan forwarding лишь с wan разрешить,
но через vlan>bridge>wan>bridge>lan боюсь все равно можно зайти будет зная ip

~~naKovoNapalBaran~~ ★
(02.03.22 15:08:11 MSK)
Последнее исправление: naKovoNapalBaran 02.03.22 15:19:47 MSK (всего исправлений: 5)