作者 主題: 擋掉所有eth0 到eth1 的packet??!!!!  (閱讀 2598 次)

0 會員 與 1 訪客 正在閱讀本文。

IceCream

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
    • http://www.taiwanes.com
擋掉所有eth0 到eth1 的packet??!!!!
« 於: 2002-10-08 07:56 »
請教一下喔~
我有一台rh7.2 的主機,
eth0 是200.73.*.254/25 Internet
eth1 是10.0.0.254/24 LAN
各連到不同的switch
10.0.0.0/24 的網路群只要分享主機的資源而已, 沒有要連到WAN
要如何設定 iptables 把所有eth0 傳到eth1 的packet 檔下來?
又~這樣安全嗎?

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
Re: 擋掉所有eth0 到eth1 的packet??!!!!
« 回覆 #1 於: 2002-10-08 08:20 »
引述: "IceCream"
請教一下喔~
eth0 是200.73.*.254/25 Internet
eth1 是10.0.0.254/24 LAN
10.0.0.0/24 的網路群只要分享主機的資源而已, 沒有要連到WAN
要如何設定 iptables 把所有eth0 傳到eth1 的packet 檔下來?


我想你不想讓10.0.0.0/24上internet,你應該是要將eth1 forward到eth0的packet drop掉吧!或是根本就不要幫10.0.0.0/24這個網段做MASQUERADE就好啦....................

IceCream

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
    • http://www.taiwanes.com
Re: 擋掉所有eth0 到eth1 的packet??!!!!
« 回覆 #2 於: 2002-10-08 08:48 »
引述: "zoob"
引述: "IceCream"
請教一下喔~
eth0 是200.73.*.254/25 Internet
eth1 是10.0.0.254/24 LAN
10.0.0.0/24 的網路群只要分享主機的資源而已, 沒有要連到WAN
要如何設定 iptables 把所有eth0 傳到eth1 的packet 檔下來?


我想你不想讓10.0.0.0/24上internet,你應該是要將eth1 forward到eth0的packet drop掉吧!或是根本就不要幫10.0.0.0/24這個網段做MASQUERADE就好啦....................


iptables -P FORWARD DROP

這樣就好了嗎?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
擋掉所有eth0 到eth1 的packet??!!!!
« 回覆 #3 於: 2002-10-08 11:21 »
方法很多:
echo "0" > /etc/sys/net/ipv4/ip_forward
iptables -I FORWARD -i eth1 -o eth0 -j DROP
iptables -I FORWARD -s 10.0.0.0/24 -j DROP

其一即可。

IceCream

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
    • http://www.taiwanes.com
擋掉所有eth0 到eth1 的packet??!!!!
« 回覆 #4 於: 2002-10-12 20:28 »
因為200.73.129.*/25 這個網路群有用到internet
所以 ip forward 不能關...

又~要怎樣才能把所有的ports 關掉只開ssh 的port?
不管是input/output 跟 forward....

IceCream

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
    • http://www.taiwanes.com
擋掉所有eth0 到eth1 的packet??!!!!
« 回覆 #5 於: 2002-10-12 22:59 »
policy 是最後一個檢查的嗎?
也就是說, 如果前面的CHAINS 都沒說x 封包要怎麼處理
就輪到policy 決定?

如果要設定一個像我之前說的FIREWALL 是不是要朝這方面想?

IceCream

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
    • http://www.taiwanes.com
擋掉所有eth0 到eth1 的packet??!!!!
« 回覆 #6 於: 2002-10-12 23:14 »
又~如果有3各nic
eth0 連router 200.*.*.129/25
eth1 連subnet A 200.*.*.254/25
eth2 連subnet B 10.0.0.254/24

要擋掉到subnet A 跟 B 的奇怪封包
直接設定在eth0 就把packet drop 掉比較好
(例 iptables -I FORWARD -i eth0 -p tcp --dport 12345 -j DROP)
還是設定destination 為 eth1 跟eth2 的奇怪封包丟掉會比較好
(例 iptables -I FORWARD -d eth1 -p tcp --dport 12345 -j DROP)
(例 iptables -I FORWARD -d eth2 -p tcp --dport 12345 -j DROP)
如果以安全性為考量而不是性能的話

對不起^^例子可能寫的不對

又~如果只要 forward port 7777 其他的都要drop, 那個驚嘆號 ("!" 是not的意思吧?) 要放到哪裡?

IceCream

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
    • http://www.taiwanes.com
擋掉所有eth0 到eth1 的packet??!!!!
« 回覆 #7 於: 2002-10-14 00:50 »
-P -I 跟-t nat PREROUTING 是差在優先權嘛?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
擋掉所有eth0 到eth1 的packet??!!!!
« 回覆 #8 於: 2002-10-14 10:24 »
do you wanna try?

if so, what do you find?