Всем привет
проверьте плиз правила на корректностьЗадание.
eth1 - внутренний интерфейс.
eth0 - внешний интерфейс.ext_ip - адрес интерфейса шлюза в сети интернет, статический. (192.168.1.85)
со стороны локальной сети 3 сегмента vlan, в каждом своя ip-сеть. На интерфейсе ethX настроены 3 саб-интерфейса:
eth1:1 - vlan1, 192.168.1.0/24 (адрес шлюза 192.168.1.1)
eth2:2 - vlan2, 192.168.2.0/24 (адрес шлюза 192.168.2.1)
eth3:3 - vlan3, 192.168.3.0/24 (адрес шлюза 192.168.3.1)задача:
vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся к легитимным соединениям.vlan2 и vlan3 доступ в интернет закрыт.
между vlan2 и vlan3 разрешен обмен любым трафиком.между vlan1 и vlan2 разрешен обмен трафиком по протоколу icmp, остальной трафик закрыт.
между vlan1 и vlan3 разрешен обмен трафиком по протоколу http (веб-сервер находится в vlan3, адрес сервера произвольный).доступ к шлюзу из всех vlan открыт по всем протоколам.
доступ к шлюзу из сети интернет закрыт полностью.
Ответ
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся к легитимным соединениям.iptables -A INPUT -eth0 -s 192.168.1.0 -j ACCEPT
iptables -A OUTPUT -m state -d 192.168.1.0 -o eth0 --state ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -o eth0 -s 192.168.1.0 -j SNAT --to-source 192.168.1.85
между vlan2 и vlan3 разрешен обмен любым трафиком.iptables -A INPUT -p ALL -i eth1.2 -s 192.168.3.0 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth1.2 -d 192.168.3.0 -j ACCEPTiptables -A INPUT -p ALL -i eth1.3 -s 192.168.2.0 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth1.3 -d 192.168.3.0 -j ACCEPT
между vlan1 и vlan2 разрешен обмен трафиком по протоколу icmp, остальной трафик закрыт.iptables -A INPUT -p ICMP -i eth1.1 -s 192.168.2.0 -j ACCEPT
iptables -A OUTPUT -p ICMP -o eth1.1 -d 192.168.2.0 -j ACCEPTiptables -A INPUT -p ICMP -i eth1.2 -s 192.168.1.0 -j ACCEPT
iptables -A OUTPUT -p ICMP -o eth1.1 -d 192.168.1.0 -j ACCEPT
между vlan1 и vlan3 разрешен обмен трафиком по протоколу http (веб-сервер находится в vlan3, адрес сервера произвольный).iptables -A INPUT -p TCP -i eth1.1 -s 192.168.3.80 --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP -o eth1.1 -d 192.168.3.80 --sport 80 -j ACCEPTiptables -A INPUT -p TCP -i eth1.3 -s 192.168.1.0 --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP -o eth1.3 -d 192.168.1.0 --sport 80 -j ACCEPT
доступ к шлюзу из всех vlan открыт по всем протоколам.iptables -A INPUT -i eth0 -s 192.168.2.0 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.2.0 -j ACCEPTiptables -A INPUT -i eth0 -s 192.168.3.0 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.3.0 -j ACCEPT
vlan2 и vlan3 доступ в интернет закрыт; доступ к шлюзу из сети интернет закрыт полностью.
Это вроде следует из политик по умолчанию
Обмен между - это FORWARD
> Обмен между - это FORWARDСпасибо
помогите найти ошибку, мне сказали что это В ПРИНЦИПЕ неправильноvlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся к легитимным соединениям.
iptables -A INPUT -i eth0 -s 192.168.1.0 -j ACCEPT
iptables -A OUTPUT -m state -d 192.168.1.0 -o eth0 --state ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -o eth0 -s 192.168.1.0 -j SNAT --to-source 192.168.1.85это из-за интерфейса? (нужно было указать eth1.1)?
> помогите найти ошибку, мне сказали что это В ПРИНЦИПЕ неправильно
> vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся
> к легитимным соединениям.
> iptables -A INPUT -i eth0 -s 192.168.1.0 -j ACCEPT
> iptables -A OUTPUT -m state -d 192.168.1.0 -o eth0 --state ESTABLISHED,RELATED -j
> ACCEPT
> iptables -A POSTROUTING -o eth0 -s 192.168.1.0 -j SNAT --to-source 192.168.1.85
> это из-за интерфейса? (нужно было указать eth1.1)?маски сети указывайте, читайте какие есть таблицы в iptables и какие правила в каких из них прописываются