Как сделать шлюз для изолированой сети?

Question

[Cellahar]

Итак, уперся в проблему. Для тестов необходимо поднять на виртуалках изолированую сеть. Такое вообще возможно средствами iptables сделать? Pfsense и vlan - применить не возможно(( Различные режими виртуальных сетей, типа виртуальная сеть хоста NAT в VirtualBox - тож не подходят, ибо они видят локалку.

Вводные:
Есть некий сервер на debian c двумя сетевыми интерфейсами.
Первый eth0 смотрит в локальную сеть 192.168.0.1/24 с интернетом и имеет адрес 192.168.0.200. Второй eth1 должен служить шлюзом для сети 10.10.11.1/24 и имеет адрес 10.10.11.1. Там должен быть интернет, но не должно быть доступа к сети 192.168.0.1/24.

Пробовал различными правилами, но всегда результат один - инет есть и доступ к 192.168.0.1/24 тоже. Например

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Или вот еще так, но это просто форвардит все.

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -i eth1 -o eth0 -s 10.10.11.0/24 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o eth1 -d 10.10.11.0/24 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.10.11.0/24 -o eth0 -j SNAT --to-source 192.168.0.200

Подскажите, как заблочить доступ к 192.168.0.1/24.

Comments

[asmelnik]

Запретить forward для 192.168.0.0/24 ??
iptables -I FORWARD 1 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD 1 -d 192.168.0.0/24 -j DROP

[Cellahar]

asmelnik, Да! Мил ты человек! Вот оно как! А я то не догадался. Уже правда железку нашел, но это то что нужнО! От души!

Answer 1

[Drno]

Так отдельную сеть в VB создай и делай там что хочешь…
Ты получишь отдельную сеть

Comments

[Cellahar]

Пробовал. Из ВМ видно локалку.

[Drno]

Cellahar, это не то. тебе нужна "внутренняя сеть"

[Cellahar]

Drno, возникло недопонимание. Ок, ее выбираем и получаем голую сеть без инета. Поэтому надо некий шлюз, чтоб он давал инет и не давал доступ в локалку.

[Drno]

Cellahar, именно. шлюз можешь развернуть 3ей вируталкой. тот же микротик CHR к примеру

Answer 2

[#]

- чем бридж не угодил? сеть как сеть
- понятия изолированная сеть и шлюз не совместимы

ps не совсем понятна цель. возможно виртуалбокс не лучший вариант..
а вариант (если начинаю понимать цель) допустим пробпрос юсби сетевого адаптера прямым клиентом к роутеру. на хосте закрываться от него..
.. все равно довольно бредовый расклад..

pps когда то давно, ставил виртуальный микротик, что бы более менее понять его настройки..
делал даже 3 виртуальных сети. в том числе даже хост брал интернет с микротика..
может вам что то такое надо?

Answer 3

[root31337]

Почему нельзя поназначать vlanы? Можно использовать какой нибудь программный шлюз типа idecoUTM. У меня на proxmox виртуалки, на нем же можно и шлюз.

Answer 4

[Дмитрий]

А просто запретить трафик из 10.10.11.0/24 в 192.168.0.0/24 до НАТа пробовали?

sudo iptables -A FORWARD -s 10.10.11.0/24 -d 192.168.0.0/24 -j DROP
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Еще можно в маскараде указать -d !192.168.0.0/25