ユーザーを分離するためのIPTABLESルール

ユーザーを分離するためのIPTABLESルール

DHCPサーバープール:192.168.1.0/24を持つOpenWrt 10.03ルーター[IP:192.168.1.1]があります。クライアントはワイヤレス/有線接続を介してそれを使用します。いいね!

問題は、ユーザーを互いに分離する必要があることです。

これを行うには:IPTABLESルール[/etc/firewall.user]を介して。
いいね!
「サウンドを考える」:したがって、[OpenWrtルーターで]次の規則が必要です。

- DROP ここで SOURCE: 192.168.1.2-192.168.1.255 で DESTINATION は 192.168.1.2-192.168.1.255

アイデアは次のとおりです。いいね!

質問!
- このファイアウォールルールを適用すると、自分自身をロックできますか?
- これは安全な方法ですか? [これは簡単ですか? :こんにちは。私は顧客です。私のIPアドレスは192.168.1.1です! - これで、暗号化されていないトラフィックをスニッフィングできます。 :( - すべてのクライアントが同じサブネットにあるためです!]
- 重複したIPアドレスを検索/監査するための良い方法はあります か

良い方法はありますか? Layer2 でこの IPTALBES ルールを実装するにはどうすればよいですか。
$ wget -q "http://downloads.openwrt.org/backfire/10.03/ar71xx/packages/" -O - | grep -i ebtables $


ps:ルールは[良いチェーンにありますか? ]: iptables -A FORWARD -m iprange --src-range 192.168.1.2-192.168.1.255 --dst-range 192.168.1.2-192.168.1.255 -j DROP
ありがとうございます!

答え1

ワイヤレスユーザーと有線ユーザーを分離したい場合は、インターフェースを合わせてみてはいかがでしょうか? ppp0 がインターネットに接続され、eth0 がローカル LAN、wlan0 がワイヤレスであるとします。

iptables -P FORWARD DROP                                 # Drop everything except:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED # Accept already accepted connections
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT            # Accept outgoing connections from local LAN
iptables -A FORWARD -i wlan0 -o ppp0 -j ACCEPT           # Accept outgonig connnections from wlan

これを使用する場合:

  • インターネットから何でも接続できない
  • ワイヤレスユーザーはインターネットにのみ接続できます。
  • ケーブルユーザーはインターネットにのみ接続できます。
  • 以下を追加すると、別のIP範囲を適用できます。--src-range

DHCPサーバーがOpenWrtデバイスで実行されている場合、FORWARDチェーンはどのような方法でも影響を与えません。 DHCP サーバーでの使用を許可

iptables -P INPUT DROP                                   # Drop everything except:
iptables -A INPUT -m state --state RELATED,ESTABLISHED   # Accept already accepted connections
iptables -A INPUT ! -i ppp0 -p tcp --dport 22 -j ACCEPT  # Don't forget SSH
iptables -A INPUT ! -i ppp0 -p udp --sport 68 --dport 67 # Accept DHCP requests from any local network

私は通常、いくつかのタイプのICMPとスパムを除いて、OUTPUTのすべてを許可します。ただし、より安全な基本DROPを好む可能性があるため、具体的な規則は次のとおりです。

iptables -P OUTPUT DROP                                             # Drop everything except:
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT ! -o ppp0 -p udp --sport 67 --dport 68 -j ACCEPT # Allow DHCP to the local network

これは、すべてのものに接続してはいけないルーターにとってより意味があります。

私の経験では、MACフィルタリングを使用しないことをお勧めします。セキュリティを追加せずにご迷惑をおかけするだけです。しかし、見たい場合:

iptables -m mac --help

MACアドレスを記録すると便利ですが、簡単に偽造される可能性があります。 ACCEPTルールの前に-j LOGまたはを追加すると、一致-j NFLOGルールは同じになります。

ネットワーク経由でのみアクセスできるコンピュータを構成しているため、自分がロックしないように注意してください。ただ近づいてルールを手動で削除することはできません。特に、iptables -P INPUT DROP空のINPUTチェーンを使用すると、SSHセッションが終了します。設定ファイルでルールを使用してiptables-save作成することをお勧めします。iptables-restoreルーターでルールを試す前に、キーボードとモニターを搭載したコンピューターでルールをテストできれば便利です。

関連情報