iptablesを使用したホストネットワークの分離

iptablesを使用したホストネットワークの分離

iptablesLinuxルーターを使用してホームイントラネットのホストを分離したいと思います。たとえば、IPアドレスがあるホストがあり、このホストが10.0.1.50残りのインターネットと通信できるようにしたいが、ルータがインターネットの他のホストと通信することを許可しないことを願っています10.0.1.0/24。ただし、ホストに接続が作成されていない場合にのみホストがポート10.0.1.0/24に接続できるようにしたいと思います10.0.1.5080これは10.0.1.50損傷を防ぎ、残りのネットワークと通信できないようにするためです。

答え1

おそらくあなたが間違っているようです。ルーターは10.0.1.50残りのサブネットとの通信をブロックできません10.0.1.0/24同じサブネット。そのサブネット内の他のホストからのパケットは10.0.1.50ルータを通過しないため、フィルタリングできません。

たとえば、する必要があるのは、別のサブネットを設定してそのサブネット192.168.0.0/24に入れることです10.0.1.50(たとえば、新しいIP)192.168.0.50。次に、そのサブネットをルーターの別々のインターフェイスに接続し、そのインターフェイスをIPとして設定します192.168.0.1。その後、必要に応じてルーティングルールを設定できます。

  • 確立された関連接続を許可する
  • 10.0.1.0/24インターネット接続を許可
  • 192.168.0.0/24インターネット接続を許可
  • 10.0.1.0/24で接続を許可192.168.0.50:80
  • 他はすべて否定して

答え2

これを行うには、レイヤ4ではなくレイヤ3で禁止し、レイヤ4で行う場合は新しいサブネットを定義する必要があります。

関連情報