bloqueia o tráfego de encaminhamento visando outra rede

1

Estou aprendendo um pouco mais sobre o firewalld e consegui criar uma rede insegura para acessar a rede interna, mas agora estou preso tentando impedir que a rede insegura alcance minha rede interna.

Aqui está uma imagem da topologia da rede (a maior parte da rede interna é virtualizada e toda a rede insegura é virtualizada): .

NacaixaCentos7queconectaas2redes,configureioencaminhamentodeIPeadicioneiumaregradireta(igualaneste pergunta ). Os nós na rede insegura têm o Centos7 como o gateway padrão (com a ideia de que essas caixas terão permissão para acessar a Internet, mas não a rede interna).

Com os itens acima, os nós na rede interna podem acessar a rede insegura , mas a rede insegura ainda pode acessar alguns IPs na rede interna (em particular, Centos7 endereço IP na rede interna e também o IP do host vmware na rede interna). Além desses 2, a rede "insegura" não pode alcançar nenhum dos outros IPs na rede interna.

Então, finalmente, a questão é: posso rejeitar qualquer coisa vinda da rede insegura que tenha como destino a rede interna?

    
por Augusto 13.10.2014 / 09:32

1 resposta

1

Supondo que você pode definir os limites e os limites da rede "interna" como uma sub-rede IP, com certeza.

Sua máquina do CentOS 7 atuando como um gateway entre as redes é onde você deseja criar regras de firewall para aplicar a política desejada. Eu tenho menos do que nenhuma experiência com a nova ferramenta firewall-cmd e firewalld , mas conceitualmente você está olhando para bloquear o tráfego na cadeia FORWARD onde a interface de origem é a interface conectada à rede "insegura" e o destino O endereço IP cai na sub-rede da rede "interna".

Assumindo que o seguinte é verdade, você provavelmente pode usar o comando abaixo para obter o que deseja.

  • A interface de rede não segura é eth1
  • A sub-rede da rede interna é 192.168.100.0/24

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -s eth1 -d 192.168.100.0/24 -j DROP

(Esse comando não foi testado - se ele mata seus animais de estimação, atiça fogo em sua casa ou faz com que você perca seu emprego, não diga que não avisei você.)

Aparentemente, você precisa fazer um firewall-cmd --reload para que as alterações entrem em vigor.

    
por 14.10.2014 / 20:09