LINUX.ORG.RU
ФорумAdmin

настройка iptables для моста в локальной сети


0

0

есть локалка состоящая из двух частей (192.168.2.0/24 и 192.168.1.0/24) и разделенная рутером (192.168.1.2/32) и мостом (transparent bridge) после него (192.168.1.254/32) на котором работает iptables. нужно:

1. разрешить все соединения из 192.168.1.0/24 к 192.168.2.0/24 2. разрешить icmp во всех направлениях (в частности ping, traceroute, может что еще нужно?) 3. разрешить подключения только к порту tcp/23 и udp/53 на любом компьютере в сети 192.168.1.0/24 из сети 192.168.2.0/24 4. запретить все остальные подключения из сети 192.168.2.0/24 к сети 192.168.1.0/24

спасибо.

anonymous

Так это на роутере надо делать, если я все правильно понял. Он же у тебя сетки разделяет?

DrDiesel
()
Ответ на: комментарий от DrDiesel

к сожалению я не имею возможности управлять роутером, под "моим началом" этот бридж и все что за ним. поэтому-то мне и необходимо создать правила для iptables именно на этой (192.168.1.254/32) машине... я так понимаю, что правила должны быть не столько ip-ориентированные, сколько интерфейсо-ориентированные, т.к. у меня совершенно однозначно на eth0 висит роутер и за ним "вражеская" локалка, а eth1 смотрит в "личную и доверенную" локалку :) так? спасибо.

anonymous
()

Ну а как тогда ты будешь ограничивать трафик из 192.168.1.0/24 к 192.168.2.0/24, если он через 92.168.1.254/32 не проходит??? Никак...

DrDiesel
()
Ответ на: комментарий от DrDiesel

по видимому это я не толково объяснил в словесной форме структуру соединений в сети :)

рисую, все очень просто и в одну линию:

|сеть 192.168.2.0/24|-->|router 192.168.1.2/32|-->

-->|bridge 192.168.1.254/32|-->|остальная часть сети 192.168.1.0/24|

и резать траффик мне нужно на 192.168.1.254/32, т.е. раутер находится в моей сети (...1.0/32) но не под моим управлением, а вот начиная с бриджа и все за ним это то что мне нужно защитить, но "прозрачно"... чтобы при пингах со стороны (...2.0/24) или с раутера (...1.2/32) в сторону защищенной сети все пинговалось нормально, как будто нет никакого firewall по дороге. или при подключении к порту tcp/23 и udp/53 на любом компьютере за бриджем все подключалось бы нормально, а вот все остальные протоколы закрыть... вроде так...

спасибо.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.