LINUX.ORG.RU
ФорумAdmin

Настройка роутера

 


0

1

День добрый.

Есть сеть 192.168.1.0/24

Есть роутер 192.168.1.32

Есть white-list 

192.168.1.14
192.168.1.15
192.168.1.16

Нужно максимально сократить общение роутера и хостов из сети не входящих в white-list.

В правильном ли направлении я думаю?

#Фильтр для white-list
iptables -N SUBNET
iptables -A SUBNET -s 192.168.1.14 -j RETURN
iptables -A SUBNET -s 192.168.1.15 -j RETURN
iptables -A SUBNET -s 192.168.1.16 -j RETURN
iptables -A SUBNET -j DROP

#Установленные - пропускаем
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#Из сетки - фильтруем
iptables -A INPUT -s 192.168.1.0/24 -j SUBNET
#Или даже так
iptables -A INPUT -j SUBNET
#Все, что не отфильтровали - можно
iptables -P INPUT ACCEPT
#Соединения с сеткой не нужны и даже не желательны
iptables -A OUTPUT -d 192.168.1.0/24 -j DROP

C iptables до этого дела не имел.


сервер в DMZ, не доступен
java + asdm = ?

1. дефолтная политика на input желательна DROP
2. в OUTPUT тоже нудно правило для RELATED, ESTABLISHED, иначе при твоем раскладе будет борода

Pinkbyte ★★★★★
()

и да, если этот роутер граничит с Интернет, где правила на транзитные пакеты(цепочка FORWARD)?

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Роутер фактически выпускает white-list в инет.

Правила фильтрации за исключением этого-самого white-list настроены через веб-морду.

Belkrr
() автор топика

Если ты через роутер выходишь, то блокируй эти адреса в цепочке FORWARD

в FORWARD добавляешь правило которое будет сбрасывать пакеты с той или ip лучше всего это сделать сброс пакетов чтоб хост долго не ждал ответ REJECT

mannaz2004
()

если надо могу кусок кода со своего роутера кинуть

mannaz2004
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
сервер в DMZ, не доступен
Admin
java + asdm = ?