LINUX.ORG.RU
ФорумAdmin

Как правильно заблокировать доступ к подсети для клиента

 , , , ,


0

1

У меня есть две виртуалки:

  • pfSense: WAN + LAN (10.0.0.1/23)
  • client: 10.0.1.1

Мне нужно, чтобы клиент мог ходить в интернет, но не иметь доступа к другим компьютерам с IP начиная с 10.0.0.2 и заканчивая 10.0.1.255. Насколько мне пояснили, такое можно сделать только с помощью умного коммутатора. В моём случае вместо коммутатора – linux bridge. Он умеет такое? Если да, подскажите, что почитать, чтобы сходу всё взять и настроить? Если нет, то openvswitch точно должен уметь, потому посоветуйте инструкцию по настройке OVS!

★★★★★

Я не настоящий админ, но чем тебя не устраивает прикрыть доступ огненной стеной? Как минимум, как быстрое решение имхо - норм.

pon4ik ★★★★★ ()
Ответ на: комментарий от pon4ik

Тем более - что твоя хотелка это ограничение на уровне IP.

pon4ik ★★★★★ ()

linux bridge - умеет фильтровать на уровне L3

Глобально sysctl net.bridge.bridge-nf-call-iptables=1 Для бриджа sysctl net.br0.bridge.nf_call_iptables=1

и вперед в средствами iptables filter/FORWARD -i br0 -o br0 фильтровать.

vel ★★★★★ ()

на порте клиента все входящие делать принудительно vlan id, исходящие пропускать только с vlan id и убирать тег, интерфейсу vlan forwarding лишь с wan разрешить,
но через vlan>bridge>wan>bridge>lan боюсь все равно можно зайти будет зная ip

naKovoNapalBaran ()
Последнее исправление: naKovoNapalBaran (всего исправлений: 5)

Пакеты проходящие через linux bridge можно фильтровать в цепочке forward пакетного фильтра linux.

anonymous ()

До этого я неверно написал.

Средствами ebtables (nft?) можно на уровне бриджа. И там знают про ipv4/ipv6.

Можно средствами iptables/nft на уровнях выше L2, но для этого трафик нужно завернуть из L2 в L3 через «sysctl net.bridge.bridge-nf-call-iptables=1»

vel ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.