Discussion:
vlan + iptables
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Marecki
2008-04-18 20:09:42 UTC
Permalink
witam

lan podzielony na sieci w vlanach

eth1 - VLAN1 - 192.168.101.0/24
eth1.2 - VLAN2 - 192.168.101.0/24
eth1.3 - VLAN3 - 192.168.102.0/24

celem jest calkowite zablokowanie ruchu pomiedzy vlanami:

w iptables dropuje oczywiscie wszystko pomiedzy vlanami:
iptables -A FORWARD -i eth1 -o eth1.2 -j DROP
iptables -A FORWARD -i eth1 -o eth1.3 -j DROP
iptables -A FORWARD -i eth1.2 -o eth1 -j DROP
iptables -A FORWARD -i eth1.2 -o eth1.3 -j DROP
iptables -A FORWARD -i eth1.3 -o eth1 -j DROP
iptables -A FORWARD -i eth1.3 -o eth1.2 -j DROP

no i niby jest OK - hosty z tych vlanow nie widza sie nawzajem
ale z kazdego z nich moge pingowac WSZYSTKIE interfejsy 'lanowe' (eth1,
eth1.2 i eth1.3)

czy jest szansa zeby to zblokowac ?
nie chce zeby w ten sposob ciekawski user mogl zweryfikowac ile i jakie sa
adresacje w pozostalych vlanach...

dzieki i pozdrawiam
Marecki
Krzysztof Magosa aka Hexio
2008-04-18 21:45:57 UTC
Permalink
Post by Marecki
witam
lan podzielony na sieci w vlanach
eth1 - VLAN1 - 192.168.101.0/24
eth1.2 - VLAN2 - 192.168.101.0/24
eth1.3 - VLAN3 - 192.168.102.0/24
iptables -A FORWARD -i eth1 -o eth1.2 -j DROP
iptables -A FORWARD -i eth1 -o eth1.3 -j DROP
iptables -A FORWARD -i eth1.2 -o eth1 -j DROP
iptables -A FORWARD -i eth1.2 -o eth1.3 -j DROP
iptables -A FORWARD -i eth1.3 -o eth1 -j DROP
iptables -A FORWARD -i eth1.3 -o eth1.2 -j DROP
no i niby jest OK - hosty z tych vlanow nie widza sie nawzajem
ale z kazdego z nich moge pingowac WSZYSTKIE interfejsy 'lanowe' (eth1,
eth1.2 i eth1.3)
czy jest szansa zeby to zblokowac ?
nie chce zeby w ten sposob ciekawski user mogl zweryfikowac ile i jakie sa
adresacje w pozostalych vlanach...
dzieki i pozdrawiam
Marecki
Witam.

FORWARD nie wpływa na ruch przychodzący do maszyny, tylko na
przekazywany gdzieś dalej. Musisz zablokować pingowanie na INPUT.

Pozdrawiam.
--
Pozdrawiam, | http://www.magosa.pl
Krzysztof Magosa 'hexio' | imie <at> nazwisko <dot> pl
0x14F2A4CD @ pgp.mit.edu | ***@xnet.org.pl
Marecki
2008-04-18 22:21:25 UTC
Permalink
Post by Krzysztof Magosa aka Hexio
FORWARD nie wpływa na ruch przychodzący do maszyny, tylko na
przekazywany gdzieś dalej. Musisz zablokować pingowanie na INPUT.
wiem

probuje tak:
iptables -A INPUT -i eth1 -p icmp -s 192.168.100.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -s ! 192.168.100.0/24 -j DROP
iptables -A INPUT -i eth1.2 -p icmp -s 192.168.101.0/24 -j ACCEPT
iptables -A INPUT -i eth1.2 -p icmp -s ! 192.168.101.0/24 -j DROP


ale i tak z sieci 192.168.101.0/24 moge pingowac interfejs 192.168.100.1

pozdrawiam
Marecki
Rafał
2008-04-19 04:26:43 UTC
Permalink
Post by Marecki
Post by Krzysztof Magosa aka Hexio
FORWARD nie wpływa na ruch przychodzący do maszyny, tylko na
przekazywany gdzieś dalej. Musisz zablokować pingowanie na INPUT.
wiem
iptables -A INPUT -i eth1 -p icmp -s 192.168.100.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -s ! 192.168.100.0/24 -j DROP
iptables -A INPUT -i eth1.2 -p icmp -s 192.168.101.0/24 -j ACCEPT
iptables -A INPUT -i eth1.2 -p icmp -s ! 192.168.101.0/24 -j DROP
ale i tak z sieci 192.168.101.0/24 moge pingowac interfejs 192.168.100.1
pozdrawiam
Marecki
oczywiście, że możesz bo są zbrydżowane
poza tym nie wiem czy dla iptables eth1, eth1.2 i eth1.3 to różne
interfejsy.
spróbuj dodać do swojego jeszcze -d!SIEC
iptables -I INPUT -i eth1 -s SIEC -p icmp -d !SIEC -j DROP
Rafał
Krzysztof Magosa aka Hexio
2008-04-19 10:26:30 UTC
Permalink
Post by Rafał
oczywiście, że możesz bo są zbrydżowane
poza tym nie wiem czy dla iptables eth1, eth1.2 i eth1.3 to różne
interfejsy.
spróbuj dodać do swojego jeszcze -d!SIEC
iptables -I INPUT -i eth1 -s SIEC -p icmp -d !SIEC -j DROP
Rafał
Kolego, nie odróżniasz eth0.1 od eth0:1 a to wielka różnica.
eth0:1 to aliasy, prehistoryczne już wręcz. A eth0.1 to VLAN'y. 2 różne
bajki.

Pozdrawiam.
--
Pozdrawiam, | http://www.magosa.pl
Krzysztof Magosa 'hexio' | imie <at> nazwisko <dot> pl
0x14F2A4CD @ pgp.mit.edu | ***@xnet.org.pl
Wojtek Basałaj
2008-04-21 00:38:36 UTC
Permalink
Post by Marecki
Post by Krzysztof Magosa aka Hexio
FORWARD nie wpływa na ruch przychodzący do maszyny, tylko na
przekazywany gdzieś dalej. Musisz zablokować pingowanie na INPUT.
wiem
iptables -A INPUT -i eth1 -p icmp -s 192.168.100.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -s ! 192.168.100.0/24 -j DROP
iptables -A INPUT -i eth1.2 -p icmp -s 192.168.101.0/24 -j ACCEPT
iptables -A INPUT -i eth1.2 -p icmp -s ! 192.168.101.0/24 -j DROP
ale i tak z sieci 192.168.101.0/24 moge pingowac interfejs 192.168.100.1
Nie to powinieneś blokować. Powyższe regułki stanowią tylko tyle, że do
eth1 nie przyjdzie żadne ICMP spoza klasy 100, a do eth1.2 - spoza klasy
101. I tak nie przyjdą, bo są w innych VLANach.

A rozumiem, że chodzi o to, żeby do eth1 nie przyszło żadne ICMP
kierowane na 101 i 102, do eth1.2 - kierowane do 100 i 102, etc.:

iptables -A INPUT -p icmp -i eth1 -d 192.168.101.0/24 -j DROP
iptables -A INPUT -p icmp -i eth1 -d 192.168.102.0/24 -j DROP

iptables -A INPUT -p icmp -i eth1.2 -d 192.168.100.0/24 -j DROP
iptables -A INPUT -p icmp -i eth1.2 -d 192.168.102.0/24 -j DROP

iptables -A INPUT -p icmp -i eth1.3 -d 192.168.100.0/24 -j DROP
iptables -A INPUT -p icmp -i eth1.3 -d 192.168.101.0/24 -j DROP
--
Wojtek Basałaj
e-mail: putmynamehere <at> dracul <dot> kill <dot> pl
Loading...