|
| Hjælp til routing med IPTables Fra : Martin Høst Normark |
Dato : 02-01-05 13:40 |
|
Hej
Jeg har en Debian-linux maskine, som er firewall for 2 netværk.
Maskinen har tre netkort:
eth0: har forbindelse til internettet
eth1: et windows 2000 netværk
eth2: et blandet netværk, for folk som vil have deres egne maskiner på.
Jeg vil gerne adskille eth1 & eth2, så der absolut ikke kan komme noget
igennem. Kan ikke lige hitte ud af hvordan en IPTables regel skal stilles
op.
eth1 har IP'er: 192.168.100.0/24, som ligger i en variable kaldet LAN_IP_NET
eth2 har IP'er: 10.0.0.0/24, som ligger i en variable kaldet WLAN_IP_NET
Har prøvet noget lignende:
iptables -A FORWARD -s $WLAN_IP_NET -d $LAN_IP_NET -j DROP
Det skal lige siges, at hele nettet virker fint, internettet virker på begge
netværk - jeg skal bare have sat en mur op imellem...
Mvh. MartinHN
| |
Morten Bakkedal (02-01-2005)
| Kommentar Fra : Morten Bakkedal |
Dato : 02-01-05 14:15 |
|
On Sun, 02 Jan 2005 13:39:31 +0100, Martin Høst Normark wrote:
> Jeg vil gerne adskille eth1 & eth2, så der absolut ikke kan komme noget
> igennem. Kan ikke lige hitte ud af hvordan en IPTables regel skal stilles
> op.
>
> [...]
>
> iptables -A FORWARD -s $WLAN_IP_NET -d $LAN_IP_NET -j DROP
>
> Det skal lige siges, at hele nettet virker fint, internettet virker på begge
> netværk - jeg skal bare have sat en mur op imellem...
Du kan angive interface i stedet for IP-adresse:
iptables -I FORWARD -i eth1 -o eth2 -j DROP
iptables -I FORWARD -i eth2 -o eth1 -j DROP
--
Morten Bakkedal
http://www.bakkeland.dk/
| |
Kasper Dupont (03-01-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 03-01-05 10:57 |
|
Morten Bakkedal wrote:
>
> Du kan angive interface i stedet for IP-adresse:
>
> iptables -I FORWARD -i eth1 -o eth2 -j DROP
> iptables -I FORWARD -i eth2 -o eth1 -j DROP
Det er også en bedre måde at gøre det på. Man bør
ikke stole på source IP på indgående pakker.
--
Kasper Dupont
| |
N/A (02-01-2005)
| Kommentar Fra : N/A |
Dato : 02-01-05 14:57 |
|
| |
Mogens Kjaer (02-01-2005)
| Kommentar Fra : Mogens Kjaer |
Dato : 02-01-05 14:57 |
|
hf hdf wrote:
> Da begge ip er /24 ligger de i samme subnetmask. Lav om så de er i
> hvert sit subnetmask, så kan de ikke se hinanden.
Umiddelbart lyder det som det rene vås.
Mogens
--
Mogens Kjær, Dataarkæolog
Email: mk@datamuseum.dk
Homepage: http://www.datamuseum.dk
| |
N/A (02-01-2005)
| Kommentar Fra : N/A |
Dato : 02-01-05 18:05 |
|
| |
Mogens Kjaer (02-01-2005)
| Kommentar Fra : Mogens Kjaer |
Dato : 02-01-05 18:05 |
|
hf hdf wrote:
> eth1 har IP´er:192.168.100.0/24, Hvilket giver subnet 255.255.255.0
>
> eth2 har IP´er:10.0.0.0/24, Hvilket giver subnet 255.255.255.0
>
> jævnfør Cisco og hvad jeg har lært
Og hvad er det lige der er problemet med de to /24 net?
Mogens
--
Mogens Kjær, Dataarkæolog
Email: mk@datamuseum.dk
Homepage: http://www.datamuseum.dk
| |
N/A (02-01-2005)
| Kommentar Fra : N/A |
Dato : 02-01-05 20:53 |
|
| |
Mogens Kjaer (02-01-2005)
| Kommentar Fra : Mogens Kjaer |
Dato : 02-01-05 20:53 |
|
hf hdf wrote:
> En af de letteste og hurtigeste måder at skille to net fra
> hinanden således at de ikke kan se hinanden er ved at sørge for
> subnetting, hvor de ligger på to forskellige.
>
> EKS.
> 192.168.100.0/24, Hvilket giver subnet 255.255.255.0
> 10.0.0.0/28, Hvilket giver subnet 255.255.255.240
Hm, jeg kan stadigvæk ikke se, at der skulle
være behov for forskellige netmaskestørrelser.
Enten routes der imellem de to net, eller også gør
der ikke.
Mogens
--
Mogens Kjær, Dataarkæolog
Email: mk@datamuseum.dk
Homepage: http://www.datamuseum.dk
| |
Asbjorn Hojmark (03-01-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 03-01-05 08:04 |
|
On 02 Jan 2005 13:14:11 GMT, hf hdf <virker@ikke.dk> wrote:
> Da begge ip er /24 ligger de i samme subnetmask.
Du sludrer. At adresserne har samme maske betyder ikke, at de er i
samme subnet.
-A
| |
|
|