Freesco, NND, CDN, EOS

Witam.

Szukam już chwile na forum informacji w jaki sposób zablokować komunikacje między Interfejsami wewnętrznymi tj.

Jest serwer--> w nim są 4 karty PCI w tym 1 to eth0 WAN i eth1,2,3 LAN

próbując wpisywać różne komendy które znalazłem na forum nie dały mi pożądanego efektu - blokady komunikacji.

proszę o pomoc i z góry Dziękuje,

Zwykle użytkownicy narzekają, że im komunikacja między podsieciami nie działa.
Jeśli masz każda podsieć na innym zakresie (np. eth1 192.168.0.1, eth2 192.168.1.1, eth3 192.168.2.1) i maskę osobną (czyli w tym przykładzie 255.255.255.0 inaczej /24), a do tego adresy są przydzielane przez odpowiednio przygotowany dhcp (muszą być odpowiednie wpisy dla każdej podsieci), to generalnie komunikacji miedzy nimi nie ma.

_________________
Belfer.one.PL
Audio Cafe

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
80.xx.xx.144 * 255.255.255.248 U 0 0 0 eth0
212.xx.xx.0 * 255.255.255.192 U 0 0 0 eth1
212.xx.xx.0 * 255.255.255.192 U 0 0 0 eth0
192.168.4.0 * 255.255.255.0 U 0 0 0 eth3
192.168.2.0 * 255.255.255.0 U 0 0 0 eth2
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default hostxxx.xxx.n 0.0.0.0 UG 0 0 0 eth0


To mi wyświetla route... co mam źle ?

Dzięki za zainteresowanie,

Coś masz na pewno. Skąd jakiś zewnętrzny adres na interfejsie eth1, który niby masz w LAN? Co to za system?

_________________
Belfer.one.PL
Audio Cafe

Mój błąd tak ma być.

Destination Gateway Genmask Flags Metric Ref Use Iface
80.xx.xxx.144 * 255.255.255.248 U 0 0 0 eth0
212.xxx.xxx.0 * 255.255.255.192 U 0 0 0 eth1
192.168.4.0 * 255.255.255.0 U 0 0 0 eth3
192.168.2.0 * 255.255.255.0 U 0 0 0 eth2
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default hostxxx.xxx.n 0.0.0.0 UG 0 0 0 eth0

na eth1 mam zrobiony alias bez maskarady i pule 64 adresów zewnętrznych które przydzielam przez przekierowanie ip. Zakresy 1.0 2.0 4.0 są za maskaradą.

Będąc obojętnie czy na eth1 2 3 - mam połączenie do wszystkich. (widzę je)

Wszystko na NND

iptables -I FORWARD -i ! eth0 -o ! eth0 -j DROP

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

No i tak, na pewno mam wszystko ok u siebie bo postawiłem system na osobnym kompie z 1xWAN 2xLAN i co ciekawe na oryginalnych ustawieniach bez żadnych zmian jedynie doinstalowana nowa karta lan i dodałem nowy wpis do /etc/network/internal/ - karty dosłownie działają jak swich tj. eth1 ma adres 192.168.8.1/24 a eth2 192.168.9.1/24. Mając wpisane w laptopie ip wraz z brama 192.168.8.2/24 widzę bez problemu kartę 192.168.9.1 ping idzie i wszystko widzę co jest za nią. Nie wierzycie to screeny mogę podesłać.

Kombinowałem z różnymi wpisami do iptables no i nic.

To co tasior Ci napisał powinno na 100% działać bo sam tego używam przy vlanach.
A dokładniej
iptables -I FORWARD -i eth1 -o ! eth0 -j DROP
iptables -I FORWARD -i eth2 -o ! eth0 -j DROP

_________________

Niestety nie działa - kombinowałem na różne sposoby i nic. Na MT bez problemu to chodzi wystarczy dopisać regułki w ip route rule pdsieć1 pdsieć2 DROP i tak do każdego i podsieci się nie widzą.


Nie wiem jak dopisać przez ip route w nnd coś podobnego jak w MT.