Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: d3v1ous в Sep 05, 2012, 15:35


Титла: Нещо като DMZ под Linux
Публикувано от: d3v1ous в Sep 05, 2012, 15:35
Здравейте,

вкъщи имам сървър с Debian. На него имам пуснато LXC и няколко контейнера. Искам да направя така, че контейнерите да са от друга мрежа, но да имат достъп до интернет само, без вътрешната мрежа.
Т.е. имам предвид това:

HOME-LAN: 192.168.0.0/24 - Мрежа с декстоп машини
GUEST-LAN: 10.10.10.0/24 - Мрежа с виртуални LXC машини

Опитах някакви конфигурации с VLAN, но нямам идея как с iptables да укажа на машина Х да има достъп до интернер, но не и до локалната мрежа.

Титла: Re: Нещо като DMZ под Linux
Публикувано от: Neo2SHYAlien в Sep 05, 2012, 17:15
След като знаеш как да играеш с VLAN-и лесно ще се справиш и с мрежовия филтър http://linux.die.net/man/8/iptables ($2)

Титла: Re: Нещо като DMZ под Linux
Публикувано от: d3v1ous в Sep 07, 2012, 13:26
Това не ми помага особено.

Дай някакви примерни идеи. За IP masking ли говориме?

Титла: Re: Нещо като DMZ под Linux
Публикувано от: tdonev в Sep 07, 2012, 14:08
.. изтрито от автора ..

Титла: Re: Нещо като DMZ под Linux
Публикувано от: b2l в Sep 07, 2012, 14:36
HOME-LAN: 192.168.0.0/25 - Мрежа с декстоп машини
GUEST-LAN: 192.168.0.128/25 - Мрежа с виртуални LXC машини

Титла: Re: Нещо като DMZ под Linux
Публикувано от: Astor в Sep 07, 2012, 15:20
d3v1ous, ти реално си си разделил нещата в 2 отделни мрежи.
Ако искаш мрежа 10.10.10.0/24 да не достъпва 192.168.0.0/24 протсти си сложи 1-2 iptables правила на маршрутизатора който рутира двете мрежи това да не се случва. Това предполагам е самия хост.
А ако искаш машините от мрежа 10.10.10.0/24 да нямат връзка по между си също можеш да ги разделиш в отделни подмрежи, например от рода на /30:
10.10.10.10.1/30 за пъвия контейнер (10.10.10.2 - на хост-а), 10.10.10.5/30 за втория и т.н. По този начин всеки контейнер ще има връзка единствено със gateway-а (маршрутизатора), е от там по същата схема с iptables можеш да си ограничиш каквото искаш.
Не знам ip адресите на самия хост ако ги вдигнеш като втори, трети... ip адрес на самия интерфейс (като alias) дали би сработило. Но пък можеш да си вдигнеш по еидн Vlan интерфейс.

Титла: Re: Нещо като DMZ под Linux
Публикувано от: d3v1ous в Sep 10, 2012, 09:49
Код:
Last login: Mon Sep 10 09:29:10 2012
[root@gargamel ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  10.10.10.2           192.168.0.0/16      

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@gargamel ~]# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  10.10.10.2           0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@gargamel ~]#

Машина 10.10.10.2 е виртуална и в момента има достъп до интернет, но не и до локалната мрежа.

Код:
[root@gargamel ~]# ssh root@10.10.10.2
root@10.10.10.2's password: 
Linux Aladdin 2.6.32-279.5.2.el6.x86_64 #1 SMP Fri Aug 24 01:07:11 UTC 2012 x86_64
Last login: Mon Sep 10 06:28:33 2012
root@Aladdin:~# ping 10.10.10.1
PING 10.10.10.1 (10.10.10.1) 56(84) bytes of data.
64 bytes from 10.10.10.1: icmp_req=1 ttl=64 time=0.046 ms
64 bytes from 10.10.10.1: icmp_req=2 ttl=64 time=0.027 ms
^C
--- 10.10.10.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.027/0.036/0.046/0.011 ms
root@Aladdin:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=49 time=30.6 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=49 time=30.4 ms
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 30.454/30.560/30.666/0.106 ms
root@Aladdin:~# ping 192.168.11.12
PING 192.168.11.12 (192.168.11.12) 56(84) bytes of data.
^C
--- 192.168.11.12 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

root@Aladdin:~#

Благодаря на всички за помоща.

@Тодор Донев първия линк ми свърши идеална работа.


Powered by SMF 2.0 Beta 4 | SMF © 2006, Simple Machines LLC