LINUX.ORG.RU
ФорумAdmin

router


0

0

Здравствуйте. Встала задача разделить сеть на подсети и поставить роутер между ними. Но доступ нужно дават не всем подряд - только некоторым ип (точнее некоторым не давать).

Пример: eth0: 10.0.0.0/24, eth1: 10.0.0.1/24 Разрешен доступ: 10.0.0.1, 10.0.0.2, 10.0.1.4, 10.0.1.5 Т.е. я разрешаю серверу форвадинг, в таблице filter цепочке FORWARD по дефолту DROP, прописываю типа:

-A FORWARD -i eth0 -s 10.0.0.1 -p ALL -j ACCEPT -A FORWARD -i eth0 -s 10.0.0.2 -p ALL -j ACCEPT -A FORWARD -i eth0 -s 10.0.1.4 -p ALL -j ACCEPT -A FORWARD -i eth0 -s 10.0.1.5 -p ALL -j ACCEPT

В этом случае эти 4 ип адреса видят друг друга? А если допустим пропишу только:

-A FORWARD -i eth0 -s 10.0.0.1 -p ALL -j ACCEPT -A FORWARD -i eth0 -s 10.0.0.2 -p ALL -j ACCEPT

То обмена уже не будет? Т,е. роутер пакеты от 10.0.0.1 и 10.0.0.2 пропускать будет, а ответ на них - нет?

Т.е. если я хочу, чтобы 10.0.1.4 и 10.0.1.5 не имели доступа к 10.0.0.1 и 10.0.0.2, но 10.0.0.1 и 10.0.0.2 имели доступ к 10.0.1.4 и 10.0.1.5 - я должен добавить еще:

-A FORWARD --state ESTABLISHED,RELATED -j ACCEPT ?

anonymous

Re: router

Здравствуйте. Встала задача разделить сеть на подсети и поставить 
роутер между ними. Но доступ нужно дават не всем подряд - только 
некоторым ип (точнее некоторым не давать).

Пример: eth0: 10.0.0.0/24, eth1: 10.0.0.1/24 Разрешен доступ: 
10.0.0.1, 10.0.0.2, 10.0.1.4, 10.0.1.5 Т.е. я разрешаю серверу 
форвадинг, в таблице filter цепочке FORWARD по дефолту DROP, 
прописываю типа:

-A FORWARD -i eth0 -s 10.0.0.1 -p ALL -j ACCEPT 
-A FORWARD -i eth0 -s 10.0.0.2 -p ALL -j ACCEPT 
-A FORWARD -i eth0 -s 10.0.1.4 -p ALL -j ACCEPT 
-A FORWARD -i eth0 -s 10.0.1.5 -p ALL -j ACCEPT

В этом случае эти 4 ип адреса видят друг друга? А если допустим
пропишу только:

-A FORWARD -i eth0 -s 10.0.0.1 -p ALL -j ACCEPT 
-A FORWARD -i eth0 -s 10.0.0.2 -p ALL -j ACCEPT

То обмена уже не будет? Т,е. роутер пакеты от 10.0.0.1 и 10.0.0.2 
пропускать будет, а ответ на них - нет?

Т.е. если я хочу, чтобы 10.0.1.4 и 10.0.1.5 не имели доступа к 
10.0.0.1 и 10.0.0.2, но 10.0.0.1 и 10.0.0.2 имели доступ к 10.0.1.4 и
10.0.1.5 - я должен добавить еще:

-A FORWARD --state ESTABLISHED,RELATED -j ACCEPT 
?

anonymous ()
Ответ на: Re: router от anonymous

Re: router

10.0.0.0/24 и 10.0.0.1/24 - это одна и таже сеть.

В остальном вроде всё верно. :)

qwe ★★ ()
Ответ на: Re: router от qwe

Re: router

Имелось ввиду 10.0.0.0/24 и 10.0.1.0/24 :)

anonymous ()
Ответ на: Re: router от anonymous

Re: router

>-A FORWARD -i eth0 -s 10.0.1.4 -p ALL -j ACCEPT
>-A FORWARD -i eth0 -s 10.0.1.5 -p ALL -j ACCEPT

Эти правила не прокатят, поскольку для этой подсети входящий интерфейс eth1. На самом деле "-i eth0/1" здесь лишние, вполне достаточно:

-A FORWARD -s 10.0.0.1 -j ACCEPT
-A FORWARD -s 10.0.0.2 -j ACCEPT
-A FORWARD -s 10.0.1.4 -j ACCEPT
-A FORWARD -s 10.0.1.5 -j ACCEPT

Главное, ход мысли у Вас правильный. Попробуйте, разберетесь без проблем.

qwe ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.