Isolamento de sub-redes do Linux

Question

Isolamento de sub-redes do Linux

#1 resposta do (1 votos)

1

Eu tenho a seguinte configuração no meu sistema

                   | br0 (lan0 to lanX + WiFi Home SSID) 
ethX(internet) -     
                   | br1 (WiFi Guest SSID).

Eu preciso que as duas pontes acessem a internet (nat'ed via ethX), mas isolam umas as outras.

Eu esperaria que, por padrão, o roteamento entre interfaces de ponte não seria ativado, mas não parece ser um caso e eu posso fazer ping da minha rede de convidado para a rede doméstica.

Acho que posso usar o iptable para bloquear o tráfego de br0 para br1, mas espero encontrar uma solução mais elegante que permita o roteamento apenas para uma interface upstream sem a necessidade de configurar regras especiais para cada sub-rede adicionada ao sistema .

Existe algum disponível? Eu ficarei bem usando o iptables, mas espero que eu possa configurar uma regra positiva, ou seja, o encaminhamento para o ethX permitido para descanso está bloqueado.

Obrigado Ilya

routing linux bridge

por Ilya 09.04.2017 / 15:06

1 resposta

Tags routing linux bridge

postfix relay com opendkim chave pública DKIM não recuperável

score 1 · Accepted Answer

A melhor maneira é soltar tudo primeiro, depois permitir o encaminhamento na (s) combinação (ões) de interface desejada (s), por exemplo:

iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -i br0 -o br1 -s 192.168.1.0/24 -j ACCEPT

.. e assim por diante. A configuração acima permite que sua rede confiável br0 atinja o br1 não confiável, mas não o contrário. Qualquer outra interface que você adicionar ao sistema não poderá encaminhar, a menos que você as adicione especificamente à lista acima. Se você quiser que br0 seja capaz de encaminhar para todos os lugares, faça assim:

iptables -A FORWARD -i br0 -j ACCEPT

Todas as redes ainda devem poder sair da sua interface NAT ethX .