LINUX.ORG.RU
ФорумAdmin

Разделение интерфейсов eth0 и eth0:0


0

1

Ребят, подскажите.

Имеется один интерфейс eth0 с адресом - 192.168.0.0/24 , добавил eth0:0 с адресом 172.20.0.0/27

Можно-ли как-то разделить эти две сети и убрать возможность их взаимодействия?

Сейчас я могу попасть из сети1 в сеть2. iptables не понимает eth0:0

Стоит что-то пытаться или тут по-любому нужно добавлять сетевуху?

CentOS 5.2



Последнее исправление: freesoul4 (всего исправлений: 1)

Ответ на: комментарий от alikhantara

Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 195.67.23.116 * 255.255.255.255 UH 0 0 0 ppp0 172.20.0.0 * 255.255.255.224 U 0 0 0 eth1 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 default 195.67.23.116 0.0.0.0 UG 0 0 0 ppp0

freesoul4
() автор топика
Ответ на: комментарий от freesoul4

195.67.23.116 * 255.255.255.255 UH 0 0 0 ppp0

172.20.0.0 * 255.255.255.224 U 0 0 0 eth1

192.168.0.0 * 255.255.255.0 U 0 0 0 eth1

default 195.67.23.116 0.0.0.0 UG 0 0 0 ppp0

freesoul4
() автор топика

а смысл? клиент сменив адрес может попасть в другую сеть в обход роутера. тут нужен VLAN

Pinkbyte ★★★★★
()

Машина работает роутером?

ptables не понимает eth0:0

Просто запрети в цепочке forward хождение между этими подсетями.

madcore ★★★★★
()
Ответ на: комментарий от madcore

Да, я знаю, может, но в моем случае такой опасности нет ) VLAN ставить пока нет возможности =(

Запретил методом -A FORWARD -s netw1 -d netw2 -j DROP -A FORWARD -s netw2 -d netw1 -j DROP

не помогло =(

freesoul4
() автор топика
Ответ на: комментарий от freesoul4

MACами укажи. Тебе нужно не два АйПи на один интерфейс садить, а саму плату на две части физически делить. МАК тоже не поможет, если юзвери знают как МАК менять, но все лучше.

anonymous
()
Ответ на: комментарий от freesoul4

Не совсем понятно, что подразумевается под «возможность их взаимодействия», но простого ping'а правло в iptables должно помочь.

Если не работает, то либо неправильные netw1 и netw2, либо вышестоящие правила разрешают эти пакеты. Попробуйте добавлять правило в начало цепочки (через -I). Или можно попробовать написать правило:

iptables -I FORWARD -i eth0 -o eth0 -j DROP

mky ★★★★★
()

1) грузишь dummy.ko;
2) отрываешь 172.20.0.0/27 от eth0:0, лепишь его к eth1 (который dummy);
3) настраиваешь iptables по вкусу;
4) собираешь eth0 (реальный) и eth1 (dummy) в мост.

3) и 4) можно менять местами.

berrywizard ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.