LINUX.ORG.RU
ФорумAdmin

disable routing between two interfaces


0

0

Est` 3 interface`a eth0 eth1 eth2. Nuzno chtoby shel traffic eth0 <-> eth1 y eth0 <-> eth2, no ne eth1 <-> eth2. Kak eto sdelat`? Proboval , naprimer, "$iptables -t filter -A FORWARD -i eth1 -o eth2 -j DROP; $iptables -filter -A FORWARD -o eth1 -i eth2 -j DROP" = vse ravno est` sviaz` mezdu eth1-eth2 ... Chto ja ne tak sdelal? Pomogite plz. Prostite za burzujskuju gramotu, staralsia pokoroche ...

anonymous

GATEWAY=no в /etc/sysconfig/network или как его там.

Nefer
()

2 Nefer: а это здесь при чем ? :-)

2 anonymous:
> vse ravno est` sviaz` mezdu eth1-eth2
Как проверял ? Счетчики (iptables -L -v) показывают прохождение пакетов через правила ? Попробуй сделать на уровне IP-адресов сетей, подключенных к eth1 и eth2: -s eth1_net/mask -d eth2_net/mask -j DROP

spirit ★★★★★
()
Ответ на: комментарий от spirit

Blockirovat` IP adresa ja proboval uze toze ... A proverial chto dochodit prosto - "ping eth2IP" ot odnogo iz hostov eth1 sety.

anonymous
()

Posmotrel "/sbin/iptables -L -v" Po etomu pravilu ne idut pakety ("/sbin/iptables/ -t filter -A FOREARD -s eth1IP -d eth2IP -j DROP"} Pochemu tak mozet byt` ?

anonymous
()

Это может быть потому, что они разрешены где-то раньше, т.е. твое запрещеющее правило стоит ниже разрешающего
Приведи сюда свое "iptable -L", желательно еще "ifconfig" и "route -n"
По крайней мере попробуй сделать в iptables не "-A FORWARD", а "-I FORWARD 1", а потом опять посмотреть "iptables -L -v" : идут ли по правилам пакеты

spirit ★★★★★
()

Chain FORWARD (policy DROP 84 packets, 6508 bytes)
 pkts bytes target     prot opt in     out     source                             destination 
16820   12M ipac_in    all  --  any    any     anywhere                         anywhere
16820   12M ipac_out   all  --  any    any     anywhere                          anywhere 
    0     0 TREJECT    all  --  any    any  10.1.76.0/24 10.0.0.0/24                  
 8692   12M INETIN     all  --  ppp0   eth1    anywhere                          anywhere
  146 95762 INETIN     all  --  ppp0   ipsec0  anywhere                        anywhere 
    0     0 INETIN     all  --  ppp0   eth2    anywhere                           anywhere
 7856  390K INETOUT    all  --  eth1   ppp0    anywhere                        anywhere 
  180 22501 INETOUT    all  --  ipsec0 ppp0    anywhere                       anywhere  
    0     0 INETOUT    all  --  eth2   ppp0    anywhere  anywhere




Vot moja 'FORWARD' chain. Ja ispolzuju odin iz iptables scriptov  iz interneta. TREJECT - eto -j REJECT -reject-with tcp-reset. 10.1.76.0/24 - eth1 , 10.0.0.0/24 - eth2
Naskolko ja ponimaju, vse ostalnije pravila v FORWARD u kotorich target INETIN/INETOUT ne mogut propuskat` eth1<->eth2 potomu-chto v nich  konkretno ukazany drugije interface`y, politika DROP ...

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.76.4       0.0.0.0         255.255.255.255 UH    0      0    eth1
10.1.76.5       0.0.0.0         255.255.255.255 UH    0      0    eth1
10.1.76.1       0.0.0.0         255.255.255.255 UH    0      0    eth1
10.1.76.2       0.0.0.0         255.255.255.255 UH    0      0    eth1
10.1.76.18      0.0.0.0         255.255.255.255 UH    0      0    eth1
10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0    eth2
81.7.120.1      0.0.0.0         255.255.255.255 UH    0      0    ppp0
10.1.76.12      10.1.76.12      255.255.255.255 UGH   0      0  ipsec0
10.1.76.15      0.0.0.0         255.255.255.255 UH    0      0    eth1
10.1.76.254     0.0.0.0         255.255.255.255 UH    0      0    eth1
10.1.76.10      0.0.0.0         255.255.255.255 UH    0      0    eth1
10.1.76.0       0.0.0.0         255.255.255.0   U     0      0  ipsec0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0    eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0      lo
0.0.0.0         81.7.120.1      0.0.0.0         UG    0      0     ppp


        

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.