Задать вопрос

Как сделать шлюз для изолированой сети?

Итак, уперся в проблему. Для тестов необходимо поднять на виртуалках изолированую сеть. Такое вообще возможно средствами iptables сделать? Pfsense и vlan - применить не возможно(( Различные режими виртуальных сетей, типа виртуальная сеть хоста NAT в VirtualBox - тож не подходят, ибо они видят локалку.

Вводные:
Есть некий сервер на debian c двумя сетевыми интерфейсами.
Первый eth0 смотрит в локальную сеть 192.168.0.1/24 с интернетом и имеет адрес 192.168.0.200. Второй eth1 должен служить шлюзом для сети 10.10.11.1/24 и имеет адрес 10.10.11.1. Там должен быть интернет, но не должно быть доступа к сети 192.168.0.1/24.

Пробовал различными правилами, но всегда результат один - инет есть и доступ к 192.168.0.1/24 тоже. Например
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT


Или вот еще так, но это просто форвардит все.
sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -i eth1 -o eth0 -s 10.10.11.0/24 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o eth1 -d 10.10.11.0/24 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.10.11.0/24 -o eth0 -j SNAT --to-source 192.168.0.200

Подскажите, как заблочить доступ к 192.168.0.1/24.
  • Вопрос задан
  • 5451 просмотр
Подписаться 4 Простой 2 комментария
Пригласить эксперта
Ответы на вопрос 4
@Drno
Так отдельную сеть в VB создай и делай там что хочешь…
Ты получишь отдельную сеть
Ответ написан
mindtester
@mindtester
http://iczin.su/hexagram_48
- чем бридж не угодил? сеть как сеть
- понятия изолированная сеть и шлюз не совместимы

ps не совсем понятна цель. возможно виртуалбокс не лучший вариант..
а вариант (если начинаю понимать цель) допустим пробпрос юсби сетевого адаптера прямым клиентом к роутеру. на хосте закрываться от него..
.. все равно довольно бредовый расклад..

pps когда то давно, ставил виртуальный микротик, что бы более менее понять его настройки..
делал даже 3 виртуальных сети. в том числе даже хост брал интернет с микротика..
может вам что то такое надо?
Ответ написан
Комментировать
@root31337
Почему нельзя поназначать vlanы? Можно использовать какой нибудь программный шлюз типа idecoUTM. У меня на proxmox виртуалки, на нем же можно и шлюз.
Ответ написан
Комментировать
@Stariyded
Сетевой админ
А просто запретить трафик из 10.10.11.0/24 в 192.168.0.0/24 до НАТа пробовали?
sudo iptables -A FORWARD -s 10.10.11.0/24 -d 192.168.0.0/24 -j DROP
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Еще можно в маскараде указать -d !192.168.0.0/25
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы