ゲートウェイとして機能するLinuxシステムCentOSからサブネットを分離する必要があります。次のシナリオがあります。中央オペレーティングシステム
eth0 pub ip addres
eth0.1 192.168.1.1
eth0.2 192.168.2.1
eth0.1とeth0.2は通信できるようになりましたが、これを無効にする必要があります。 VLANが利用できないため、IPtablesとの通信を無効にする必要があります。どんなアイデアがありますか?
答え1
これは少しトリッキーです。あなたは隔離することができますただゲートウェイを通過するトラフィック。
たとえば、次のルールを使用できます。
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
iptables -I FORWARD -d 192.168.1.0/24 -s 192.168.2.0/24 -j DROP
または:
iptables -I FORWARD -i eth0.1 -o eth0.2 -j DROP
iptables -I FORWARD -o eth0.1 -i eth0.2 -j DROP
両方のサブネットは同じ物理インターフェイスにあるため、すべてのホスト/デバイスを制御できる限りOKです。そうしないと、誰かがゲートウェイをバイパスする可能性があります。これを行う方法はいくつかあります。たとえば、
- 他のサブネットのメンバーになるようにIPを変更してください。
- 上記の別のIPにIPを変更してください。
- 他のサブネットへの静的ダイレクトルート設定
- IPv6の使用
- DHCPサーバーを実行しています...
簡単に答えると、そうできないということです。