iptables:クライアントを互いに分離します

0

クライアントが互いに到達できないようにサブネット内のクライアントを分離する方法はありますか?

現在、インフラストラクチャは次のようになっています。

  • 192.168.0.1/24ゲートウェイ、iptablesを備えたCentOSボックス。
  • 192.168.0.10-20互いに到達する可能性のある一部のクライアント
  • 192.168.0.30単一のクライアント
    • ホスト192.168.0.10-20に到達できないはずです
    • ゲートウェイとインターネットに到達できる必要があります

それが可能かどうかはわかりませんが、どうすればそれを実現できるか、あなたのアイデアを教えていただけますか。マシン192.168.0.30は、誰かにレンタルしたい仮想マシンであるため、影響を与えることはできません。ありがとう。

security  iptables  subnet 
フロリアン・ラグ
ソース

回答:

1

FORWARDチェーンで必要なルールは次のとおりです。

iptables <insert spec> -s 192.168.0.30 --dst-range 192.168.0.10-20 -j REJECT --reject-with icmp-host-prohibited

<insert spec>既存のルールに依存します。詳細についてはiptables -Liptables(8)manページの出力を参照してください。

イグナシオ・バスケス・アブラムス
ソース
答えてくれてありがとう-しかし、ホストが10-20のホストに直接到達するのを避けるにはどうすればいいですか?通常、これはデフォルトルートを介して転送されないため、ファイアウォールはこれらのパッケージを正常に表示することはできません。簡単な解決策はありますか、またはネットワークをVLANに分けてファイアウォールでブリッジする必要がありますか?
フロリアンラグ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.