Безопасность VLAN или IPTABLES?

1

1

Доброго времени суток. Проблема такого рода... Имеется CentOS 2 провайдера, без балансировки второй пров только для резерва. Имеется сеть eth2, 2 прова eth0, eth1.

Схема такова.

Linux CentOS 6.2(шлюз)
- eth0----(некая сеть)-----pppoe----провайдер(основной)
- eth1----pppoe----провайдер(резерв)
- eth2----(моя сеть)

Из «некой сети» нужно запускать через eht0 одного юзера в инет(и только в инет!) который подключен к ней физически. Вопрос! Каким образом запретить ходить этому юзеру в мою сеть? Если VLAN можно подробную доку... Если IPTABLES пример... Боюсь упустить момент «моя сеть» сеть компании, iptables знаю, но профи себя не считаю.

Ссылка

←	subversion+apache - правила авторизации в зависимости от IP

хост и виртуалка не пингуют друг друга

→

vlan

uspen ★★★★★
(07.11.12 12:34:27 MSK)

При чём тут VLAN, если у тебя явно маршрутизатор машина а не просто коммутатор?

Закрывать необходимо через iptables в данном случае.

oxumorron ★
(07.11.12 12:41:43 MSK)

Ответ на: комментарий от uspen 07.11.12 12:34:27 MSK

А ещё 3 звезды...

oxumorron ★
(07.11.12 12:43:02 MSK)

Ответ на: комментарий от oxumorron 07.11.12 12:43:02 MSK

ничего не понял, ему из локалки только в инет надо выпустить?

uspen ★★★★★
(07.11.12 12:54:08 MSK)

Ответ на: комментарий от uspen 07.11.12 12:54:08 MSK

Ему надо не пустить в свою сеть, висящую на другом интерфейсе.

oxumorron ★
(07.11.12 13:03:00 MSK)

Ссылка

А еще можно policy-routing использовать

anonymous
(07.11.12 13:42:07 MSK)

Через какой интерфейс подключен новоявленный интернетчик?
Через eth0, от провайдера?

Yustas ★★★★
(07.11.12 16:02:39 MSK)

Ответ на: комментарий от anonymous 07.11.12 13:42:07 MSK

А еще можно policy-routing использовать

Можно предметный указатель курса CCNP открыть и что-нибудь ещё использовать, раз такое дело!

Yustas ★★★★
(07.11.12 16:04:58 MSK)

Ответ на: комментарий от Yustas 07.11.12 16:04:58 MSK

Можно предметный указатель курса CCNP открыть и что-нибудь ещё использовать, раз такое дело!

это что за попытка зарисоваться ? зачет, редко кто осиливает предметный указатель почитать.

anonymous
(07.11.12 23:29:52 MSK)

Ссылка

Ответ на: комментарий от Yustas 07.11.12 16:02:39 MSK

Подключен через eth0... Кабель от провайдера заходит в свич, на свиче висит этот юзер... Со свича уходит на eth0 сервера.

notlive
(08.11.12 03:16:07 MSK) автор топика

Ответ на: комментарий от notlive 08.11.12 03:16:07 MSK

Ну и чем этот юзер отличается от кого угодно приходящего к тебе из инета?

frob ★★★★★
(08.11.12 04:47:13 MSK)

Ответ на: комментарий от frob 08.11.12 04:47:13 MSK

Не читал первый о пост? Тут все поняли суть а ты нет... Отличается он тем что нужно ему раздавать инет... Шлюзовать его в нет, не запуская в другую сеть.

notlive
(08.11.12 04:52:33 MSK) автор топика

Ответ на: комментарий от notlive 08.11.12 04:52:33 MSK

На фиг его «шлюзовать в инет» если он уже между тобой и провайдером?

Или ты хочешь его и через резервный канал пускать, если основной накроется?

frob ★★★★★
(08.11.12 04:54:32 MSK)
Последнее исправление: frob 08.11.12 04:55:28 MSK (всего исправлений: 1)

Ответ на: комментарий от frob 08.11.12 04:54:32 MSK

Какая разница на фиг? Значит нужно, есть такая задача остальное не важно :) Через резерв не нужно, нужно его через основной канал пускать...

notlive
(08.11.12 04:57:16 MSK) автор топика

Ответ на: комментарий от notlive 08.11.12 04:57:16 MSK

Какая разница? Очень простая. Если ты спрашиваешь «а как бы мне все файлы с диска удалить?», то неплохо бы убедиться, что твой следующий вопрос НЕ «а как теперь обратно вернуть?».

Заводишь на свиче два VLANa. Допустим 10 и 20. Порт к провайдеру в VLAN 10, порт к шлюзуемому в VLAN 20, порт к твоему центосороутеру — транк с обоими VLAN-ами. На центосе iptables разрешающая с 20-ого VLAN-а ходить только в 10-ый.

frob ★★★★★
(08.11.12 05:05:12 MSK)

Ответ на: комментарий от oxumorron 07.11.12 12:41:43 MSK

Как вариант конечно можно сделать так... -A POSTROUTING -s 192.168.1.12 -j SNAT --to-source 90.xx.xx.xx Но правильно ли это?

notlive
(08.11.12 05:10:49 MSK) автор топика

Ответ на: комментарий от frob 08.11.12 05:05:12 MSK

Снова ты не о том... Свич не управляемый...

notlive
(08.11.12 05:12:00 MSK) автор топика

Ответ на: комментарий от notlive 08.11.12 05:12:00 MSK

Нет, это ты не о том.
Каким образом следовало без привлечения телепатов определить неуправляемость свича?

frob ★★★★★
(08.11.12 05:22:39 MSK)

Ответ на: комментарий от frob 08.11.12 05:22:39 MSK

Дорогой ГУРУ ответь по теме...

notlive
(08.11.12 05:27:57 MSK) автор топика

Ответ на: комментарий от notlive 08.11.12 05:27:57 MSK

Переткнуть шлюзуемого куда-то можно?

frob ★★★★★
(08.11.12 05:42:04 MSK)

Ответ на: комментарий от frob 08.11.12 05:42:04 MSK

К сожалению нет...

notlive
(08.11.12 05:55:40 MSK) автор топика

Ответ на: комментарий от notlive 08.11.12 05:55:40 MSK

Решил попробовать сделать через IPTABLES... -A INPUT -s 10.10.10.0/30 -d 192.168.0.0/16 -j DROP -A INPUT -d 10.10.10.0/30 -s 192.168.0.0/16 -j DROP -A FORWARD -s 10.10.10.0/30 -d 192.168.0.0/16 -j DROP -A FORWARD -d 10.10.10.0/30 -s 192.168.0.0/16 -j DROP -A POSTROUTING -s 10.10.10.0/30 -j SNAT --to-source 90.xx.xx.xx

Вроде решено, но правильно ли это?

notlive
(08.11.12 10:38:47 MSK) автор топика

Ответ на: комментарий от notlive 08.11.12 05:10:49 MSK

В FORWARD просто опиши кого можно пускать, а кого нет - так будет вполне правильно.

oxumorron ★
(08.11.12 16:28:51 MSK)

Ответ на: комментарий от oxumorron 08.11.12 16:28:51 MSK

Форварды у меня все разрешены, поэтому я просто решил закрыть форварды на эту сеть. Правильно?

notlive
(09.11.12 09:46:10 MSK) автор топика

Ответ на: комментарий от frob 08.11.12 04:54:32 MSK

На фиг его «шлюзовать в инет» если он уже между тобой и провайдером?

Очевидно, у него нет логина, чтобы к провайдеру по PPPoE подключиться. Потому и надо работать через того, у кого еть.

AS ★★★★★
(09.11.12 09:49:07 MSK)

Ссылка

Ответ на: комментарий от notlive 08.11.12 10:38:47 MSK

Вроде решено, но правильно ли это?

Оформлено неправильно: нифига не читабельно.

-j SNAT, кстати, зачем ? Тут надо MASQUERADE. А так правильно, надо только FORWARD перекрыть.

AS ★★★★★
(09.11.12 09:50:34 MSK)
Последнее исправление: AS 09.11.12 09:53:38 MSK (всего исправлений: 1)

Ответ на: комментарий от AS 09.11.12 09:50:34 MSK

да нет, правильно SNAT ведь я пускать должен только через определенного провайдера...

notlive
(09.11.12 10:06:42 MSK) автор топика

Ответ на: комментарий от notlive 09.11.12 10:06:42 MSK

правильно SNAT ведь я пускать должен только через определенного провайдера...

А, тогда да.

AS ★★★★★
(09.11.12 10:12:38 MSK)

Ссылка

Ответ на: комментарий от notlive 09.11.12 09:46:10 MSK

Да, просто запрещающие правила перед разрешающими воткни - там до первого попадания.

oxumorron ★
(09.11.12 15:51:53 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	subversion+apache - правила авторизации в зависимости от IP

Admin

хост и виртуалка не пингуют друг друга

→

Похожие темы