同じインターフェイスでのサブネット分離

同じインターフェイスでのサブネット分離

ゲートウェイとして機能するLinuxシステムCentOSからサブネットを分離する必要があります。次のシナリオがあります。中央オペレーティングシステム

eth0 pub ip addres
eth0.1 192.168.1.1
eth0.2 192.168.2.1

eth0.1とeth0.2は通信できるようになりましたが、これを無効にする必要があります。 VLANが利用できないため、IPtablesとの通信を無効にする必要があります。どんなアイデアがありますか?

答え1

これは少しトリッキーです。あなたは隔離することができますただゲートウェイを通過するトラフィック。

たとえば、次のルールを使用できます。

iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
iptables -I FORWARD -d 192.168.1.0/24 -s 192.168.2.0/24 -j DROP

または:

iptables -I FORWARD -i eth0.1 -o eth0.2 -j DROP
iptables -I FORWARD -o eth0.1 -i eth0.2 -j DROP

両方のサブネットは同じ物理インターフェイスにあるため、すべてのホスト/デバイスを制御できる限りOKです。そうしないと、誰かがゲートウェイをバイパスする可能性があります。これを行う方法はいくつかあります。たとえば、

  1. 他のサブネットのメンバーになるようにIPを変更してください。
  2. 上記の別のIPにIPを変更してください。
  3. 他のサブネットへの静的ダイレクトルート設定
  4. IPv6の使用
  5. DHCPサーバーを実行しています...

簡単に答えると、そうできないということです。

関連情報