Вопросы Теги

Изолируйте хосты, объединяющиеся в сеть с iptables

Самым легким путем является копия образец VIM Cygwin vimrc файл

cp /usr/share/vim/vim*/vimrc_example.vim /etc/vimrc

Это решит проблему для каждой учетной записи в Вашей системе. Если по некоторым причинам Вы только хотите изменить его для конкретного пользователя, сделать

cp /usr/share/vim/vim*/vimrc_example.vim ~/.vimrc

Посмотрите ссылку здесь

0
19.09.2013, 21:42
2 ответа

Вы по всей вероятности делаете его неправильно. Ваш маршрутизатор не может предотвратить 10.0.1.50 от того, чтобы говорить с остальной частью 10.0.1.0/24 подсеть, потому что они находятся в той же подсети. Пакет от 10.0.1.50 к другому хосту в этой подсети не пройдет через маршрутизатор, таким образом, Вы не можете отфильтровать его.

То, что необходимо сделать, должно настроить отдельную подсеть, скажем, например, 192.168.0.0/24 и помещенный 10.0.1.50 в ту подсеть, например, с новым IP 192.168.0.50. Затем подключите эту подсеть к отдельному интерфейсу Вашего маршрутизатора и настройте этот интерфейс к IP как 192.168.0.1. Затем можно настроить правила маршрутизации, как желаемый:

  • Позвольте установленные и связанные соединения
  • Позволить 10.0.1.0/24 соединяться с Интернетом
  • Позволить 192.168.0.0/24 соединяться с Интернетом
  • Позвольте соединения от 10.0.1.0/24 кому: 192.168.0.50:80
  • Отклоните все остальное
2
28.01.2020, 02:37
  • 1
    Таким образом, я сделал это первоначально, таким образом, я рад, что это было правильным путем для взятия. Первоначально, у меня был он так, чтобы хост был в 10.0.2.0/24, и моя регулярная подсеть была 10.0.1.0/24. Я добавил 10.0.2.1 к eth1 на своем маршрутизаторе, который также был 10.0.1.1. Однако у меня была проблема маршрутизации между этими двумя сетями, которые не имели смысла мне. Мысли? –  sparticvs 19.09.2013, 22:59
  • 2
    "Ваш маршрутизатор не может препятствовать тому 10.0.1.50 говорить с остальной частью 10.0.1.0/24 подсети, потому что они находятся в той же подсети" - если компьютеры в сети непосредственно подключены к маршрутизатору, должно быть возможно отбросить нежелательные пакеты даже на обычно соединяемой мостом LAN, не так ли? –  peterph 19.09.2013, 23:04
  • 3
    @peterph я думаю, что необходимо было бы подключить каждый компьютер к отдельному интерфейсу на маршрутизаторе, и затем необходимо будет настроить a /31 или /30 мини-подсеть для каждого компьютера, который, конечно, не кажется очень практичным. Как только несколько компьютеров непосредственно подключены через концентратор/переключатель/мост, пакеты между этими компьютерами больше не проходили бы через маршрутизатор. –  Martin von Wittich 19.09.2013, 23:13
  • 4
    @sparticvs попытайтесь восстановить эту конфигурацию затем [или: ожидайте других ответов в случае, если я неправ] и затем редактирую Вашу регистрацию для отражения его. Объясните проблемы, которые Вы имеете, и затем мы можем взять его оттуда. –  Martin von Wittich 19.09.2013, 23:14
  • 5
    @peterph, ничего себе, у Вас есть я там... Я никогда не слышал о ebtables до настоящего времени :). Да, это могло работать при правильных обстоятельствах, но если Вам действительно не нужна способность выборочно передать или отфильтровать кадры Ethernet, это - вероятно, неправильный инструмент для задания. –  Martin von Wittich 19.09.2013, 23:49

Чтобы сделать это, необходимо запретить в уровне 3 не уровень 4, или если Вы делаете в уровне 4, необходимо определить новую подсеть.

0
28.01.2020, 02:37

Теги

Похожие вопросы