LINUX.ORG.RU
ФорумAdmin

Iptables: запрет клиентов в локальной сети видеть друг друга


0

0

Здравствуйте! Имеется локальная сеть с клиентами 192.168.1.0, 255.255.255.0. Сервером является перепрошитый на dd-wrt роутер dir-615 с адресом 192.168.1.1. Пытаюсь через iptables запретить клиенту №1 (192.168.1.4) видеть клиента №2 (192.168.1.3). Как мне казалось, это должно решаться одной строчкой в iptables:

iptables -I FORWARD -s 192.168.1.4 -d 192.168.1.3 -j REJECT

Но не смотря на это, с 192.168.1.4 я спокойно захожу на \\192.168.1.3. Подскажите, где у меня ошибка и что я делаю не так? Заранее благодарю.

Подскажите, где у меня ошибка и что я делаю не так? Заранее благодарю.

Роутер никак не участвует в передаче пакетов от одного клиента к другому, т.к. фактически они соединены через тупой свич.

Deleted ()
Ответ на: комментарий от thesis

поэтому никак

А кстати может быть и как. Если провода от каждого клиента воткнуты в этот роутер, и на роутере LAN-порты видятся как отдельные eth-интерфейсы, объединённые в мост, а не как один интерфейс на свич, то можно попробовать фильтровать пакеты через ebtables. Но я сомневаюсь, что в dd-wrt так можно из коробки.

Если оградить клиентов друг от друга очень сильно хочется, то можно также попробовать заменить все свичи на управляемые.

Deleted ()
Ответ на: комментарий от Deleted

я сомневаюсь, что в dd-wrt так можно из коробки.

Я тоже, потому и сказал, что «никак». Было бы интересно ошибиться.

Вообще, можно, наверное, каждого клиента запихнуть в отдельную подсеть, если их не очень много, а на роутер навешать alias'ов. Это тупая ручная работа с раздачей адресов и прописыванием шлюзов на каждом клиенте.

Но я все равно не вижу в этом смысла.

thesis ★★★★★ ()
Ответ на: комментарий от sdio

спасибо за идею с vlan`ами. по здравому суждению других вариантов не вижу.

headcuter ()
Ответ на: комментарий от Deleted

спасибо, что разъяснили мне про свитч лан портов. тему можно считать закрытой. буду делать через вланы.

headcuter ()
Ответ на: комментарий от headcuter

А что там особенного? Поднимаешь, как обычно, pppoe-сервер, на каждом компе в локалке настраиваешь клиента, и после этого они будут общаться только через сервак, где ты благополучно сможешь забанить это дело на фаерволе.

По сути, те же вланы, но немного на другом уровне.

nnz ★★★★ ()
Ответ на: комментарий от nnz

вот с том то и суть, чтобы поднять pppoe сервер на dd-wrt: в репозитории к установщику ipkg-opt я вариантов не нашел. попробую собрать rp-pppoe на dd-wrt - главное си компилер найти и поставить))

headcuter ()
Ответ на: комментарий от anon_666

вы мне лучше пакет посоветуйте для dd-wrt. только gcc не в счет - он идет только в составе пакета crosstool-native размером в 100 мбайт

headcuter ()

ip-sentinel поможет решить эту проблему

anonymous ()

Роутер не будет учавствовать при передаче данных внутри подсети (как уже выше написали). Есть вариант поставить управляемый свич, и на нем уже настроить port-isolation. Тогда все клиенты пойдут через сервер (т.е. то, что вам надо - не видеть друг друга)

Jaizer ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.