Автор Тема: Нещо като DMZ под Linux  (Прочетена 1536 пъти)

d3v1ous

  • Напреднали
  • *****
  • Публикации: 127
    • Профил
Нещо като DMZ под Linux
« -: Sep 05, 2012, 15:35 »
Здравейте,

вкъщи имам сървър с Debian. На него имам пуснато LXC и няколко контейнера. Искам да направя така, че контейнерите да са от друга мрежа, но да имат достъп до интернет само, без вътрешната мрежа.
Т.е. имам предвид това:

HOME-LAN: 192.168.0.0/24 - Мрежа с декстоп машини
GUEST-LAN: 10.10.10.0/24 - Мрежа с виртуални LXC машини

Опитах някакви конфигурации с VLAN, но нямам идея как с iptables да укажа на машина Х да има достъп до интернер, но не и до локалната мрежа.
Активен

Neo2SHYAlien

  • Напреднали
  • *****
  • Публикации: 93
  • Distribution: Debian Sid
  • Window Manager: Gnome3, E17
    • Профил
    • WWW
Re: Нещо като DMZ под Linux
« Отговор #1 -: Sep 05, 2012, 17:15 »
След като знаеш как да играеш с VLAN-и лесно ще се справиш и с мрежовия филтър http://linux.die.net/man/8/iptables
Активен

- Би ли ми казал кой път да хвана оттук? - попита Алиса.
- Зависи накъде отиваш - отвърна Котаракът.
- Все едно накъде...- каза малкото момиче.
- Тогава е все едно кой път ще вземеш - рече Котаракът.

d3v1ous

  • Напреднали
  • *****
  • Публикации: 127
    • Профил
Re: Нещо като DMZ под Linux
« Отговор #2 -: Sep 07, 2012, 13:26 »
Това не ми помага особено.

Дай някакви примерни идеи. За IP masking ли говориме?
Активен

tdonev

  • Гост
Re: Нещо като DMZ под Linux
« Отговор #3 -: Sep 07, 2012, 14:08 »
.. изтрито от автора ..
« Последна редакция: Jul 25, 2015, 00:57 от octanium »
Активен

b2l

  • Напреднали
  • *****
  • Публикации: 4786
  • Distribution: MCC Interim
  • Window Manager: - // - // -
  • ...sometimes I feel like screaming... || RTFM!
    • Профил
    • WWW
Re: Нещо като DMZ под Linux
« Отговор #4 -: Sep 07, 2012, 14:36 »
HOME-LAN: 192.168.0.0/25 - Мрежа с декстоп машини
GUEST-LAN: 192.168.0.128/25 - Мрежа с виртуални LXC машини
Активен

"Човекът е въже, опънато между звяра и свръхчовека, въже над пропаст. Човекът е нещо, което трябва да бъде превъзмогнато." - Фр. Ницше

Astor

  • Напреднали
  • *****
  • Публикации: 332
    • Профил
Re: Нещо като DMZ под Linux
« Отговор #5 -: Sep 07, 2012, 15:20 »
d3v1ous, ти реално си си разделил нещата в 2 отделни мрежи.
Ако искаш мрежа 10.10.10.0/24 да не достъпва 192.168.0.0/24 протсти си сложи 1-2 iptables правила на маршрутизатора който рутира двете мрежи това да не се случва. Това предполагам е самия хост.
А ако искаш машините от мрежа 10.10.10.0/24 да нямат връзка по между си също можеш да ги разделиш в отделни подмрежи, например от рода на /30:
10.10.10.10.1/30 за пъвия контейнер (10.10.10.2 - на хост-а), 10.10.10.5/30 за втория и т.н. По този начин всеки контейнер ще има връзка единствено със gateway-а (маршрутизатора), е от там по същата схема с iptables можеш да си ограничиш каквото искаш.
Не знам ip адресите на самия хост ако ги вдигнеш като втори, трети... ip адрес на самия интерфейс (като alias) дали би сработило. Но пък можеш да си вдигнеш по еидн Vlan интерфейс.
Активен

Няма начин, да няма начин!

d3v1ous

  • Напреднали
  • *****
  • Публикации: 127
    • Профил
Re: Нещо като DMZ под Linux
« Отговор #6 -: Sep 10, 2012, 09:49 »
Код:
Last login: Mon Sep 10 09:29:10 2012
[root@gargamel ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  10.10.10.2           192.168.0.0/16     

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@gargamel ~]# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  10.10.10.2           0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@gargamel ~]#

Машина 10.10.10.2 е виртуална и в момента има достъп до интернет, но не и до локалната мрежа.

Код:
[root@gargamel ~]# ssh root@10.10.10.2
root@10.10.10.2's password:
Linux Aladdin 2.6.32-279.5.2.el6.x86_64 #1 SMP Fri Aug 24 01:07:11 UTC 2012 x86_64
Last login: Mon Sep 10 06:28:33 2012
root@Aladdin:~# ping 10.10.10.1
PING 10.10.10.1 (10.10.10.1) 56(84) bytes of data.
64 bytes from 10.10.10.1: icmp_req=1 ttl=64 time=0.046 ms
64 bytes from 10.10.10.1: icmp_req=2 ttl=64 time=0.027 ms
^C
--- 10.10.10.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.027/0.036/0.046/0.011 ms
root@Aladdin:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=49 time=30.6 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=49 time=30.4 ms
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 30.454/30.560/30.666/0.106 ms
root@Aladdin:~# ping 192.168.11.12
PING 192.168.11.12 (192.168.11.12) 56(84) bytes of data.
^C
--- 192.168.11.12 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

root@Aladdin:~#

Благодаря на всички за помоща.

@Тодор Донев първия линк ми свърши идеална работа.
Активен