LINUX.ORG.RU
решено ФорумAdmin

Безопасность VLAN или IPTABLES?

 , ,


1

1

Доброго времени суток. Проблема такого рода... Имеется CentOS 2 провайдера, без балансировки второй пров только для резерва. Имеется сеть eth2, 2 прова eth0, eth1.

Схема такова.

  • Linux CentOS 6.2(шлюз)
    • eth0----(некая сеть)-----pppoe----провайдер(основной)
    • eth1----pppoe----провайдер(резерв)
    • eth2----(моя сеть)

Из «некой сети» нужно запускать через eht0 одного юзера в инет(и только в инет!) который подключен к ней физически. Вопрос! Каким образом запретить ходить этому юзеру в мою сеть? Если VLAN можно подробную доку... Если IPTABLES пример... Боюсь упустить момент «моя сеть» сеть компании, iptables знаю, но профи себя не считаю.

При чём тут VLAN, если у тебя явно маршрутизатор машина а не просто коммутатор?

Закрывать необходимо через iptables в данном случае.

oxumorron
()
Ответ на: комментарий от uspen

Ему надо не пустить в свою сеть, висящую на другом интерфейсе.

oxumorron
()

Через какой интерфейс подключен новоявленный интернетчик?
Через eth0, от провайдера?

Yustas ★★★★
()
Ответ на: комментарий от anonymous

А еще можно policy-routing использовать

Можно предметный указатель курса CCNP открыть и что-нибудь ещё использовать, раз такое дело!

Yustas ★★★★
()
Ответ на: комментарий от Yustas

Можно предметный указатель курса CCNP открыть и что-нибудь ещё использовать, раз такое дело!

это что за попытка зарисоваться ? зачет, редко кто осиливает предметный указатель почитать.

anonymous
()
Ответ на: комментарий от Yustas

Подключен через eth0... Кабель от провайдера заходит в свич, на свиче висит этот юзер... Со свича уходит на eth0 сервера.

notlive
() автор топика
Ответ на: комментарий от frob

Не читал первый о пост? Тут все поняли суть а ты нет... Отличается он тем что нужно ему раздавать инет... Шлюзовать его в нет, не запуская в другую сеть.

notlive
() автор топика
Ответ на: комментарий от notlive

На фиг его «шлюзовать в инет» если он уже между тобой и провайдером?

Или ты хочешь его и через резервный канал пускать, если основной накроется?

frob ★★★★★
()
Последнее исправление: frob (всего исправлений: 1)
Ответ на: комментарий от frob

Какая разница на фиг? Значит нужно, есть такая задача остальное не важно :) Через резерв не нужно, нужно его через основной канал пускать...

notlive
() автор топика
Ответ на: комментарий от notlive

Какая разница? Очень простая. Если ты спрашиваешь «а как бы мне все файлы с диска удалить?», то неплохо бы убедиться, что твой следующий вопрос НЕ «а как теперь обратно вернуть?».

Заводишь на свиче два VLANa. Допустим 10 и 20. Порт к провайдеру в VLAN 10, порт к шлюзуемому в VLAN 20, порт к твоему центосороутеру — транк с обоими VLAN-ами. На центосе iptables разрешающая с 20-ого VLAN-а ходить только в 10-ый.

frob ★★★★★
()
Ответ на: комментарий от oxumorron

Как вариант конечно можно сделать так... -A POSTROUTING -s 192.168.1.12 -j SNAT --to-source 90.xx.xx.xx Но правильно ли это?

notlive
() автор топика
Ответ на: комментарий от notlive

Нет, это ты не о том.
Каким образом следовало без привлечения телепатов определить неуправляемость свича?

frob ★★★★★
()
Ответ на: комментарий от notlive

Решил попробовать сделать через IPTABLES... -A INPUT -s 10.10.10.0/30 -d 192.168.0.0/16 -j DROP -A INPUT -d 10.10.10.0/30 -s 192.168.0.0/16 -j DROP -A FORWARD -s 10.10.10.0/30 -d 192.168.0.0/16 -j DROP -A FORWARD -d 10.10.10.0/30 -s 192.168.0.0/16 -j DROP -A POSTROUTING -s 10.10.10.0/30 -j SNAT --to-source 90.xx.xx.xx

Вроде решено, но правильно ли это?

notlive
() автор топика
Ответ на: комментарий от oxumorron

Форварды у меня все разрешены, поэтому я просто решил закрыть форварды на эту сеть. Правильно?

notlive
() автор топика
Ответ на: комментарий от frob

На фиг его «шлюзовать в инет» если он уже между тобой и провайдером?

Очевидно, у него нет логина, чтобы к провайдеру по PPPoE подключиться. Потому и надо работать через того, у кого еть.

AS ★★★★★
()
Ответ на: комментарий от notlive

Вроде решено, но правильно ли это?

Оформлено неправильно: нифига не читабельно.

-j SNAT, кстати, зачем ? Тут надо MASQUERADE. А так правильно, надо только FORWARD перекрыть.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от notlive

правильно SNAT ведь я пускать должен только через определенного провайдера...

А, тогда да.

AS ★★★★★
()
Ответ на: комментарий от notlive

Да, просто запрещающие правила перед разрешающими воткни - там до первого попадания.

oxumorron
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.