ネットワークからコンピュータを隔離する方法
孤立したIP:10.17.15.99
サブネット: 10.17.15.0
ゲートウェイ:10.15.15.1
試験を終えた:
iptables -I INPUT -s 10.17.15.99 -d 10.17.0.0/24 -j DROP
以下を行う必要があります。
- .99 IPからインターネットにアクセスする
- サブネットからのアクセス
- このIPからサブネットへのすべての接続を削除します。
答え1
10.17.0.0/24
サブネットからのトラフィックを許可し、反対方向にトラフィックを許可したくない場合、10.17.15.99
これは少し難しくなります。問題は、10.17.15.99
着信トラフィックに応答するときに10.17.0.0/24
それを許可する必要があることです。
iptables 状態追跡により、この問題を解決できます。アイデアは、新しい接続がボックスからアウトバウンドに出ることを防ぎ、インバウンドに入ることを許可することです。まず、次の内容をお読みください。http://www.iptables.info/en/connection-state.html#USERLANDSTATES
したがって、次の規則がこれを処理する必要があります。
iptables -A FORWARD -s 10.17.15.99 -d 10.17.0.0/24 -m state --state NEW -j DROP
10.17.15.99
上記の規則は、そのボックスのトラフィックを処理するゲートウェイ/ルーターに配置する必要があります。唯一の他のオプションは、ボックス自体にフィルタを配置することです。この場合FORWARD
に変更OUTPUT
。
このstate
モジュールはUDPもサポートしているため、TCPだけでなくUDPでも機能する必要があります。
答え2
ルールはiptables ... DROP
問題ないようですが、指定したサブネットがアクセスをブロックしたいサブネットではありませんか?
より詳細な支援が必要な場合は、ネットワークをよりよく説明する必要があります。