Титла: Нещо като DMZ под Linux Публикувано от: d3v1ous в Sep 05, 2012, 15:35 Здравейте,
вкъщи имам сървър с Debian. На него имам пуснато LXC и няколко контейнера. Искам да направя така, че контейнерите да са от друга мрежа, но да имат достъп до интернет само, без вътрешната мрежа. Т.е. имам предвид това: HOME-LAN: 192.168.0.0/24 - Мрежа с декстоп машини GUEST-LAN: 10.10.10.0/24 - Мрежа с виртуални LXC машини Опитах някакви конфигурации с VLAN, но нямам идея как с iptables да укажа на машина Х да има достъп до интернер, но не и до локалната мрежа. Титла: Re: Нещо като DMZ под Linux Публикувано от: Neo2SHYAlien в Sep 05, 2012, 17:15 След като знаеш как да играеш с VLAN-и лесно ще се справиш и с мрежовия филтър http://linux.die.net/man/8/iptables ($2)
Титла: Re: Нещо като DMZ под Linux Публикувано от: d3v1ous в Sep 07, 2012, 13:26 Това не ми помага особено.
Дай някакви примерни идеи. За IP masking ли говориме? Титла: Re: Нещо като DMZ под Linux Публикувано от: tdonev в Sep 07, 2012, 14:08 .. изтрито от автора ..
Титла: Re: Нещо като DMZ под Linux Публикувано от: b2l в Sep 07, 2012, 14:36 HOME-LAN: 192.168.0.0/25 - Мрежа с декстоп машини
GUEST-LAN: 192.168.0.128/25 - Мрежа с виртуални LXC машини Титла: Re: Нещо като DMZ под Linux Публикувано от: Astor в Sep 07, 2012, 15:20 d3v1ous, ти реално си си разделил нещата в 2 отделни мрежи.
Ако искаш мрежа 10.10.10.0/24 да не достъпва 192.168.0.0/24 протсти си сложи 1-2 iptables правила на маршрутизатора който рутира двете мрежи това да не се случва. Това предполагам е самия хост. А ако искаш машините от мрежа 10.10.10.0/24 да нямат връзка по между си също можеш да ги разделиш в отделни подмрежи, например от рода на /30: 10.10.10.10.1/30 за пъвия контейнер (10.10.10.2 - на хост-а), 10.10.10.5/30 за втория и т.н. По този начин всеки контейнер ще има връзка единствено със gateway-а (маршрутизатора), е от там по същата схема с iptables можеш да си ограничиш каквото искаш. Не знам ip адресите на самия хост ако ги вдигнеш като втори, трети... ip адрес на самия интерфейс (като alias) дали би сработило. Но пък можеш да си вдигнеш по еидн Vlan интерфейс. Титла: Re: Нещо като DMZ под Linux Публикувано от: d3v1ous в Sep 10, 2012, 09:49 Код: Last login: Mon Sep 10 09:29:10 2012 Машина 10.10.10.2 е виртуална и в момента има достъп до интернет, но не и до локалната мрежа. Код: [root@gargamel ~]# ssh root@10.10.10.2 Благодаря на всички за помоща. @Тодор Донев първия линк ми свърши идеална работа. |