Модераторы: powerfox, ZeeLax
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> iptables + vlan + ограничение доступа 
V
    Опции темы
Alkash
Дата 28.2.2011, 12:45 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


коллекционер жизни
**


Профиль
Группа: Участник
Сообщений: 516
Регистрация: 5.7.2004
Где: /

Репутация: нет
Всего: нет
Доброго времени суток господа.
И так имеется - Ubuntu server 10.04 в качестве шлюза,2 физических интерфейса eth0(во внутрь), eth2 в инет. На eth0 - 2 vlan: vlan2 - собственно локалка предприятия, vlan3 - ещё 1 локалка с доступом в нет. Требуется - обрубить доступ в инет диапазаону IP vlan2 от 192.168.11.1-192.168.11.99 средствами IPTables.

На данный момент правила выглядят следующим образом:
Код

#!/bin/sh 
echo 1 > /proc/sys/net/ipv4/ip_forward 
iptables --flush 
iptables --table nat --flush 
iptables --table mangle --flush 
iptables --delete-chain 
iptables --table nat --delete-chain 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A FORWARD -i vlan3 -o eth2 -j ACCEPT 
iptables -A INPUT -p tcp -m iprange --src-range 192.168.11.1-192.168.11.99 -m multiport --dport 80,8080 -j DROP 
#iptables -A FORWARD -p tcp -i vlan2 -m iprange --src-range 192.168.11.3-192.168.11.99 -o eth2 -j REJECT --reject-with tcp-reset 
iptables -A FORWARD -i vlan2 -m iprange --src-range 192.168.11.100-192.168.11.254 -o eth2 -j ACCEPT 
# NAT 
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.11.0/24 -j MASQUERADE 
iptables -t nat -A POSTROUTING -o eth2 -s 10.1.1.0/24 -j MASQUERADE 
iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A FORWARD -i eth2 -o vlan2 -j REJECT 
iptables -A FORWARD -i eth2 -o vlan3 -j REJECT



И как бы....Вообщем вообще никак. Инет как был на диапазоне до сотки, так и есть.

вывод iptables -vnL:

Код

Chain INPUT (policy ACCEPT 1198K packets, 187M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   100 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           source IP range 192.168.11.1-192.168.11.99 multiport dports 80,8080 

Chain FORWARD (policy ACCEPT 630K packets, 102M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  vlan3  eth2    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  vlan2  eth2    0.0.0.0/0            0.0.0.0/0           source IP range 192.168.11.100-192.168.11.254 
46143   52M ACCEPT     all  --  eth2   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 REJECT     all  --  eth2   vlan2   0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable 
    0     0 REJECT     all  --  eth2   vlan3   0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable 

Chain OUTPUT (policy ACCEPT 905K packets, 101M bytes)
 pkts bytes target     prot opt in     out     source               destination     



Заранее благодарен за помощь.


--------------------
Подпись >> /dev/null
PM MAIL ICQ MSN   Вверх
Alkash
Дата 28.2.2011, 14:12 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


коллекционер жизни
**


Профиль
Группа: Участник
Сообщений: 516
Регистрация: 5.7.2004
Где: /

Репутация: нет
Всего: нет
Решено, сделал

Код

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.11.1-192.168.11.99 -m multiport --dport 80,8080 -j DROP


первым правилом цепочки, и всё встало на круги своя.


--------------------
Подпись >> /dev/null
PM MAIL ICQ MSN   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "Linux/UNIX: Администрирование"
ZeeLax
Imple
nerezus
 Этот форум предназначен для решения вопросов по администрации *n?x-систем, в частности по настройке сложных сетей и обслуживанию серверного оборудования.

  • Вы должны соблюдать правила форума.
  • Помните: какой вопрос, такой и ответ. Прежде чем задать вопрос прочитайте вот эту статью на форуме CIT.
  • Оскорблять запрещается.
  • Религиозные войны в Религиозных войнах.
  • Общение "просто так" в Клубе юнуксоидов. В отличие от многих других разделов, здесь разрешается сдержанно оффтопить и юморить в тему.

За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу).


В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим.

Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax.
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Администрирование *NIX систем | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.0705 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.