iptables - como permitir internet, mas bloquear sub-redes?

Navegue suas respostas
1

Como isolar um computador na rede

IP to isolation: 10.17.15.99

Subnet: 10.17.15.0

Gateway: 10.15.15.1

Tentei:

iptables -I INPUT -s 10.17.15.99 -d 10.17.0.0/24 -j DROP

Eu preciso:

  • Acesso à Internet a partir do IP de 99
  • Acesso da sub-rede a ele
  • Solte todas as conexões da sub-rede do IP
por user2421781 12.03.2018 / 11:03

2 respostas

0

Se você quiser permitir o tráfego da sub-rede 10.17.0.0/24 para 10.17.15.99 , mas não permitir o tráfego de outra maneira, isso será um pouco complicado. O problema é quando 10.17.15.99 responde ao tráfego de 10.17.0.0/24 , ele precisa ser permitido.

Você pode resolver esse enigma com o rastreamento de estado do iptables. A ideia é bloquear novas conexões de saída da caixa, mas permitir que elas entrem. Para começar, algumas leituras recomendadas são: link

Assim, esta regra deve lidar com isso: 

iptables -A FORWARD -s 10.17.15.99 -d 10.17.0.0/24 -m state --state NEW -j DROP

Observe que a regra acima deve ser colocada no gateway / roteador que lida com o tráfego dessa 10.17.15.99 box. A única outra opção é colocar o filtro na própria caixa. Nesse caso, você deve alterar o FORWARD para OUTPUT .

Note que o módulo state também tem suporte para o UDP, então ele deve funcionar lá também, e não apenas TCP.

    
por 12.03.2018 / 13:45
0

Sua iptables ... DROP -rule parece boa, exceto que a sub-rede que você especificou não é a que você quer bloquear o acesso?

Se você quiser uma ajuda mais detalhada, descreva melhor sua rede.

    
por 12.03.2018 / 12:05

Tags

Sintaxe para alterar o modo de ligação de uma interface Por que estou recebendo 'respostas RTNETLINK: Nenhuma rota para hospedar' ao adicionar uma rota IPv6?