ďťż
 
 
   iptables i blokoda przekierowania ruchu między pulą...
 
 

Tematy
 
    
 

 

 

 

iptables i blokoda przekierowania ruchu między pulą...




raczkowski1 - 16-06-2009 17:25
Witam.
Mam serwer rozdzielający sygnał i kilka pul adresów IP, 3 prywatne pule i jedną pulę publiczną oraz adres od ICP.
Niby wszystko działa a wygląda tak:
    lLAN1 = 192.168.100.0/24
    LAN2 = 192.168.10.0/24
    LAN3 = 192.168.99.0/24
    LAN_PUB = 195.2.xyz.xyz
    WAN = 217.xxx.xxx.xxxl
Z LAN1, LAN3 i LAN2 mogę pingować, korzystać z serwerów www, ftp itd w sieci LAN_PUB (tu jest dobrze).
Z LAN2 do LAN1 tak samo jak powyżej i na odwrót.
Z LAN2 do LAN3 tak samo jak powyżej i na odwrót.

Ale z LAN_PUP też mogę pingować sieci prywatne oraz korzystać z ich serwerów np. www.

Mam pytanie jak mam zablokować przekierowywanie pakietów z LAN1 i LAN_PUB do LAN2 tak żebym w drugą stronę nie miał blokady?

Próbowałem: /sbin/iptables -t filter -A FORWARD -s 195.2.xyz.xyz/xx -d 192.168.10.0/24 -j DROP Ale zablokowało mi to w obie strony.

Poniżej część polityk firewalla odnośnie przekierowania ruchu: Chain FORWARD (policy DROP)
target    prot opt source              destination       
DROP      tcp  --  anywhere            anywhere            tcp dpt:microsoft-ds
DROP      udp  --  anywhere            anywhere            udp dpt:microsoft-ds
DROP      tcp  --  anywhere            anywhere            tcp dpt:loc-srv
DROP      udp  --  anywhere            anywhere            udp dpt:loc-srv
DROP      tcp  --  anywhere            anywhere            tcp dpt:netbios-ns
DROP      udp  --  anywhere            anywhere            udp dpt:netbios-ns
DROP      tcp  --  anywhere            anywhere            tcp dpt:netbios-dgm
DROP      udp  --  anywhere            anywhere            udp dpt:netbios-dgm
DROP      tcp  --  anywhere            anywhere            tcp dpt:netbios-ssn
DROP      udp  --  anywhere            anywhere            udp dpt:netbios-ssn
DROP      all  --  195.2.YYY.YYY/23      192.168.100.0/24   
DROP      tcp  --  komputer1            anywhere            #conn/32 > 100
DROP      tcp  --  195.2.YYY.YYX        anywhere            #conn/32 > 1000
DROP      tcp  --  adres_serwisowy      anywhere            #conn/32 > 100
ACCEPT    all  --  adres_serwisowy      anywhere           
ACCEPT    all  --  anywhere            adres_serwisowy                #siec 192.168.100.0
ACCEPT    all  --  192.168.10.100      anywhere           
ACCEPT    all  --  anywhere            192.168.10.100     
ACCEPT    all  --  komputer1            anywhere                        # siec 192.168.10.0
ACCEPT    all  --  anywhere            komputer1         
ACCEPT    all  --  192.168.10.224/27    anywhere                            #dhcp pula
ACCEPT    all  --  anywhere            192.168.10.224/27 Z góry dziękuję za pomoc.


mariaczi - 17-06-2009 15:33

Próbowałem: /sbin/iptables -t filter -A FORWARD -s 195.2.xyz.xyz/xx -d 192.168.10.0/24 -j DROP Ale zablokowało mi to w obie strony. Dodaj do tego parametry: -i oraz -o podajac po nich odpowiednie interfejsy.


raczkowski1 - 19-06-2009 00:08
Niestety, dalej blokuje w obie strony.


mariaczi - 19-06-2009 14:57
Hm. Sprobuj moze uzyc modulu state i dropowac w odpowiednia strone polaczenia NEW, a reszte akceprowac.
[ot] Staram sie nakierowac wg teorii. W praktyce nie mialem okazji konfigurowac. :)
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • minister.pev.pl

    •  

     


     
    		 
    Copyright 2003. MĂłj serwis