/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Hjælp til routing med IPTables
Fra : Martin Høst Normark


Dato : 02-01-05 13:40

Hej

Jeg har en Debian-linux maskine, som er firewall for 2 netværk.

Maskinen har tre netkort:
eth0: har forbindelse til internettet
eth1: et windows 2000 netværk
eth2: et blandet netværk, for folk som vil have deres egne maskiner på.

Jeg vil gerne adskille eth1 & eth2, så der absolut ikke kan komme noget
igennem. Kan ikke lige hitte ud af hvordan en IPTables regel skal stilles
op.

eth1 har IP'er: 192.168.100.0/24, som ligger i en variable kaldet LAN_IP_NET
eth2 har IP'er: 10.0.0.0/24, som ligger i en variable kaldet WLAN_IP_NET

Har prøvet noget lignende:

iptables -A FORWARD -s $WLAN_IP_NET -d $LAN_IP_NET -j DROP

Det skal lige siges, at hele nettet virker fint, internettet virker på begge
netværk - jeg skal bare have sat en mur op imellem...


Mvh. MartinHN



 
 
Morten Bakkedal (02-01-2005)
Kommentar
Fra : Morten Bakkedal


Dato : 02-01-05 14:15

On Sun, 02 Jan 2005 13:39:31 +0100, Martin Høst Normark wrote:

> Jeg vil gerne adskille eth1 & eth2, så der absolut ikke kan komme noget
> igennem. Kan ikke lige hitte ud af hvordan en IPTables regel skal stilles
> op.
>
> [...]
>
> iptables -A FORWARD -s $WLAN_IP_NET -d $LAN_IP_NET -j DROP
>
> Det skal lige siges, at hele nettet virker fint, internettet virker på begge
> netværk - jeg skal bare have sat en mur op imellem...

Du kan angive interface i stedet for IP-adresse:

iptables -I FORWARD -i eth1 -o eth2 -j DROP
iptables -I FORWARD -i eth2 -o eth1 -j DROP

--
Morten Bakkedal
http://www.bakkeland.dk/


Kasper Dupont (03-01-2005)
Kommentar
Fra : Kasper Dupont


Dato : 03-01-05 10:57

Morten Bakkedal wrote:
>
> Du kan angive interface i stedet for IP-adresse:
>
> iptables -I FORWARD -i eth1 -o eth2 -j DROP
> iptables -I FORWARD -i eth2 -o eth1 -j DROP

Det er også en bedre måde at gøre det på. Man bør
ikke stole på source IP på indgående pakker.

--
Kasper Dupont

N/A (02-01-2005)
Kommentar
Fra : N/A


Dato : 02-01-05 14:57



Mogens Kjaer (02-01-2005)
Kommentar
Fra : Mogens Kjaer


Dato : 02-01-05 14:57

hf hdf wrote:
> Da begge ip er /24 ligger de i samme subnetmask. Lav om så de er i
> hvert sit subnetmask, så kan de ikke se hinanden.

Umiddelbart lyder det som det rene vås.

Mogens

--
Mogens Kjær, Dataarkæolog
Email: mk@datamuseum.dk
Homepage: http://www.datamuseum.dk

N/A (02-01-2005)
Kommentar
Fra : N/A


Dato : 02-01-05 18:05



Mogens Kjaer (02-01-2005)
Kommentar
Fra : Mogens Kjaer


Dato : 02-01-05 18:05

hf hdf wrote:
> eth1 har IP´er:192.168.100.0/24, Hvilket giver subnet 255.255.255.0
>
> eth2 har IP´er:10.0.0.0/24, Hvilket giver subnet 255.255.255.0
>
> jævnfør Cisco og hvad jeg har lært

Og hvad er det lige der er problemet med de to /24 net?

Mogens


--
Mogens Kjær, Dataarkæolog
Email: mk@datamuseum.dk
Homepage: http://www.datamuseum.dk

N/A (02-01-2005)
Kommentar
Fra : N/A


Dato : 02-01-05 20:53



Mogens Kjaer (02-01-2005)
Kommentar
Fra : Mogens Kjaer


Dato : 02-01-05 20:53

hf hdf wrote:
> En af de letteste og hurtigeste måder at skille to net fra
> hinanden således at de ikke kan se hinanden er ved at sørge for
> subnetting, hvor de ligger på to forskellige.
>
> EKS.
> 192.168.100.0/24, Hvilket giver subnet 255.255.255.0
> 10.0.0.0/28, Hvilket giver subnet 255.255.255.240

Hm, jeg kan stadigvæk ikke se, at der skulle
være behov for forskellige netmaskestørrelser.

Enten routes der imellem de to net, eller også gør
der ikke.

Mogens

--
Mogens Kjær, Dataarkæolog
Email: mk@datamuseum.dk
Homepage: http://www.datamuseum.dk

Asbjorn Hojmark (03-01-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 03-01-05 08:04

On 02 Jan 2005 13:14:11 GMT, hf hdf <virker@ikke.dk> wrote:

> Da begge ip er /24 ligger de i samme subnetmask.

Du sludrer. At adresserne har samme maske betyder ikke, at de er i
samme subnet.

-A

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408942
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste