iptables: séparer les clients les uns des autres

0

Existe-t-il un moyen de séparer les clients d'un sous-réseau afin qu'ils ne puissent pas se joindre?

L'infrastructure ressemble actuellement à ceci:

  • 192.168.0.1/24 Gateway, une boîte CentOS avec iptables.
  • 192.168.0.10-20 Quelques clients qui peuvent se joindre
  • 192.168.0.30 Un seul client qui
    • ne devrait pas pouvoir atteindre les hôtes 192.168.0.10-20
    • devrait pouvoir atteindre la passerelle et Internet

Je ne sais pas si c'est possible, peut-être pourriez-vous me donner vos idées sur la manière de le faire. Je ne peux pas influencer la machine 192.168.0.30, car c’est une machine virtuelle que je veux louer à quelqu'un. Merci.

security iptables subnet Florian Lagg
la source

Réponses:

1

La règle dont vous avez besoin dans votre chaîne FORWARD est la suivante:

iptables <insert spec> -s 192.168.0.30 --dst-range 192.168.0.10-20 -j REJECT --reject-with icmp-host-prohibited

<insert spec>dépend des règles existantes. Voir le résultat de iptables -Let la iptables(8)page de manuel pour plus de détails.

Ignacio Vazquez-Abrams
la source
Merci pour la réponse - mais comment éviter que l'hôte atteigne directement les hôtes 10-20? Généralement, cela n'est pas transféré via la route par défaut - le pare-feu ne devrait donc pas voir ces paquets normalement. Existe-t-il une solution simple ou dois-je séparer le réseau en VLAN et les relier au pare-feu?
Florian Lagg