[ SlackList ] [ WkikiSlack ]




Re: sieci, router i iptables

From: Machoni <machoni_malpka_o2.pl>
Date: Wed Dec 05 2007 - 22:38:46 CET

> Sieć 10.0.0.0/24 nie ma mieć dostępu do Internetu, tam są przypisywanie
> IP dynamicznie na wypadek, gdyby jakiś nieznajomy komputer poprzez
> WLAN'a się podłączył to dhcp przypisze mu ip z tej puli i nie będzie
> miał dostępu do netu. Sieć 192.168.0.0/24 ma mieć dostęp do netu i tam
> są przypisane na sztywno adresy komputerom. Chcę, żeby komputery z
> dostępem do Internetu nie komunikowały się z tymi, które tego dostępu
> nie mają. Wpisałem to, co mi napisałeś, ale nie działa. Nawet net nie
> działa, musiałem dopisać jeszcze:
>
> iptables -t filter -A FORWARD -d 192.168.0.0/24 -j ACCEPT
>
> Jeżeli wyłączę forward to dalej jest to samo. Może problem tkwi gdzieś
> tutaj?
>
> iptables -t nat -A POSTROUTING -s 192.168.0.2 -j MASQUERADE
> ...
> iptables -t nat -A POSTROUTING -s 192.160.0.12 -j MASQUERADE
>
> Zrobiłem tak dla każdego adresu, ponieważ wtedy jest mi łatwiej
> zablokować niepłacącym dostęp do sieci...

Ano faktycznie braklo tej jednej, ale chodzilo mi raczej o pokazanie koncepcji, niz smarowanie gotowca.
A do tego co zamierzasz (dhcp dla nieznanych) wcale nie jest konieczna inna podsiec, choc nieco porzadkuje sprawe. Btw. zablokuj sieci 10... forward na calej linii, skoro to sa nieznani, po co maja sie gdzies forwardowac?
I oczywiscie powiazales ip z MAC w tablicy arp? mimo ze jest to do obejscia, jest to jednak jakies tam zabezpieczenie.
Jeszcze pytanie za 100pkt, masz stale czy dynamiczne ip w internecie? jesli stale to poczytaj z SNAT zamiast MASQUERADE. Zas te regolki musza pozostac, choc osobiscie dodalbym tam '-d ! 192.168.0.0/24' ;)

Zdrowienia.
Received on Wed Dec 5 22:38:56 2007

This archive was generated by hypermail 2.1.8. Wyprawa Shackleton 2014