The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Ivan"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение [ Отслеживать ]

"Ivan"  +/
Сообщение от Ilovewanya email on 15-Ноя-13, 12:59 
Всем привет
проверьте плиз правила на корректность

Задание.
eth1 - внутренний интерфейс.
eth0 - внешний интерфейс.

ext_ip - адрес интерфейса шлюза в сети интернет, статический. (192.168.1.85)

со стороны локальной сети 3 сегмента vlan, в каждом своя ip-сеть. На интерфейсе ethX настроены 3 саб-интерфейса:

eth1:1 - vlan1, 192.168.1.0/24 (адрес шлюза 192.168.1.1)
eth2:2 - vlan2, 192.168.2.0/24 (адрес шлюза 192.168.2.1)
eth3:3 - vlan3, 192.168.3.0/24 (адрес шлюза 192.168.3.1)

задача:
vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся к легитимным соединениям.

vlan2 и vlan3 доступ в интернет закрыт.
между vlan2 и vlan3 разрешен обмен любым трафиком.

между vlan1 и vlan2 разрешен обмен трафиком по протоколу icmp, остальной трафик закрыт.
между vlan1 и vlan3 разрешен обмен трафиком по протоколу http (веб-сервер находится в vlan3, адрес сервера произвольный).

доступ к шлюзу из всех vlan открыт по всем протоколам.
доступ к шлюзу из сети интернет закрыт полностью.


Ответ
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся к легитимным соединениям.

iptables -A INPUT -eth0 -s 192.168.1.0 -j ACCEPT
iptables -A OUTPUT -m state -d 192.168.1.0 -o eth0 --state ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -o eth0 -s 192.168.1.0 -j SNAT --to-source 192.168.1.85


между vlan2 и vlan3 разрешен обмен любым трафиком.

iptables -A INPUT -p ALL -i eth1.2 -s 192.168.3.0 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth1.2 -d 192.168.3.0 -j ACCEPT

iptables -A INPUT -p ALL -i eth1.3 -s 192.168.2.0 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth1.3 -d 192.168.3.0 -j ACCEPT


между vlan1 и vlan2 разрешен обмен трафиком по протоколу icmp, остальной трафик закрыт.

iptables -A INPUT -p ICMP -i eth1.1 -s 192.168.2.0 -j ACCEPT
iptables -A OUTPUT -p ICMP -o eth1.1 -d 192.168.2.0 -j ACCEPT

iptables -A INPUT -p ICMP -i eth1.2 -s 192.168.1.0 -j ACCEPT
iptables -A OUTPUT -p ICMP -o eth1.1 -d 192.168.1.0 -j ACCEPT


между vlan1 и vlan3 разрешен обмен трафиком по протоколу http (веб-сервер находится в vlan3, адрес сервера произвольный).

iptables -A INPUT -p TCP -i eth1.1 -s 192.168.3.80 --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP -o eth1.1 -d 192.168.3.80 --sport 80 -j ACCEPT

iptables -A INPUT -p TCP -i eth1.3 -s 192.168.1.0 --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP -o eth1.3 -d 192.168.1.0 --sport 80 -j ACCEPT


доступ к шлюзу из всех vlan открыт по всем протоколам.

iptables -A INPUT -i eth0 -s 192.168.2.0 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.2.0 -j ACCEPT

iptables -A INPUT -i eth0 -s 192.168.3.0 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.3.0 -j ACCEPT


vlan2 и vlan3 доступ в интернет закрыт;  доступ к шлюзу из сети интернет закрыт полностью.
Это вроде следует из политик по умолчанию

Ответить | Правка | Cообщить модератору

Оглавление

  • Ivan, BarS, 14:08 , 15-Ноя-13, (1)  
    • Ivan, Ilovewanya, 14:14 , 15-Ноя-13, (2)  
      • Ivan, Ilovewanya, 11:03 , 18-Ноя-13, (3)  
        • Ivan, reader, 12:43 , 18-Ноя-13, (4)  

Сообщения по теме [Сортировка по времени | RSS]


1. "Ivan"  +/
Сообщение от BarS (??) on 15-Ноя-13, 14:08 
Обмен между - это FORWARD
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Ivan"  +/
Сообщение от Ilovewanya email on 15-Ноя-13, 14:14 
> Обмен между - это FORWARD

Спасибо

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Ivan"  +/
Сообщение от Ilovewanya email on 18-Ноя-13, 11:03 
помогите найти ошибку, мне сказали что это В ПРИНЦИПЕ неправильно

vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся к легитимным соединениям.

iptables -A INPUT -i eth0 -s 192.168.1.0 -j ACCEPT
iptables -A OUTPUT -m state -d 192.168.1.0 -o eth0 --state ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -o eth0 -s 192.168.1.0 -j SNAT --to-source 192.168.1.85

это из-за интерфейса? (нужно было указать eth1.1)?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Ivan"  +/
Сообщение от reader (ok) on 18-Ноя-13, 12:43 
> помогите найти ошибку, мне сказали что это В ПРИНЦИПЕ неправильно
> vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся
> к легитимным соединениям.
> iptables -A INPUT -i eth0 -s 192.168.1.0 -j ACCEPT
> iptables -A OUTPUT -m state -d 192.168.1.0 -o eth0 --state ESTABLISHED,RELATED -j
> ACCEPT
> iptables -A POSTROUTING -o eth0 -s 192.168.1.0 -j SNAT --to-source 192.168.1.85
> это из-за интерфейса? (нужно было указать eth1.1)?

маски сети указывайте, читайте какие есть таблицы в iptables и какие правила в каких из них прописываются

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру