Как запретить локальный трафик между двумя локальными интерфейсами?

Question

[azalio]

Есть linux-box с 3 сетевыми интерфейсами.
eth0 — inet
eth1 — lan1 — gw 192.168.1.1
eth2 — lan2 — gw 192.168.10.1

У пользователей из обоих сетей должен быть интернет.

Хочу сделать так, чтобы никто из lan2 не мог увидеть ничего из lan1.

Прописал:
iptables -A FORWARD -i eth2 -o eth1 -j DROP

Но пользователь из сети lan2 спокойно получает доступ до IP-адреса на интерфейсе eth1 — 192.168.1.1, что не желательно.

upd. Помогло следующее:

iptables -L -v
Chain INPUT (policy DROP 21 packets, 1148 bytes)
pkts bytes target prot opt in out source destination
9 488 DROP all -- any any 192.168.10.0/24 192.168.1.0/24


Спасибо за помощь!

Comments

[Dmitriy]

Подсети нигде не пересекаются на аппаратном уровне?

[azalio]

Я не совсем понял ваш вопрос.
Полагаю, что нигде.

Answer 1

[ergil]

а route -n кто будет показывать? мало ли, что у вас там наворочено

Comments

[azalio]

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
10.128.32.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0
0.0.0.0 10.128.32.1 0.0.0.0 UG 100 0 0 eth0


Answer 2

[Андрей Григорьев]

<vanga_mode>у вас eth1 и eth2 в один свитч воткнуты?</vanga_mode>

Comments

[azalio]

eth1 и eth2 воткнуты в 1 сервер.

Answer 3

[nicolnx]

попробуйте в INPUT дополнительно отфильтроваться

Comments

[azalio]

Что написать в INPUT?

Answer 4

[da0c]

Вроде все правильно, сложно подсказать, но я бы проверил
— а в цепочке FORWARD нет ли какого правила, которое идет перед
iptables -A FORWARD -i eth2 -o eth1 -j DROP
и пропускает пакеты
— а на уровне свича все разделено (хотя этот вопрос уже был)
— а не могут ли пакеты форвардится lan2 — lan0 — lan1, хотя вроде route нормальный…
— кстати, а на машинах из lan2 — lan1 стоят шлюзы правильные?
— попробуйте записать пакеты в логи iptables или посмотрите на них tcpdump-ом — чтобы узнать, как же они все-таки просачиваются

Comments

[azalio]

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! $INET -j ACCEPT

Перед этим правилом.

Два провода воткнуты в 2 сетевых карты: eth1 eth2.

12:46:15.417765 a0:88:b4:97:10:b8 > 00:0f:ea:51:5d:29, ethertype IPv4 (0x0800), length 74: 192.168.10.101 > 192.168.1.1: ICMP echo request, id 1, seq 14974, length 40
12:46:15.417812 00:0f:ea:51:5d:29 > a0:88:b4:97:10:b8, ethertype IPv4 (0x0800), length 74: 192.168.1.1 > 192.168.10.101: ICMP echo reply, id 1, seq 14974, length 40


[da0c]

А в цепочке FORWARD одно правило?

[azalio]

# Generated by iptables-save v1.4.4 on Sun Apr 8 13:58:15 2012
*mangle
:PREROUTING ACCEPT [15110:3597713]
:INPUT ACCEPT [4015:689656]
:FORWARD ACCEPT [10538:2855605]
:OUTPUT ACCEPT [12374:1052019]
:POSTROUTING ACCEPT [22941:3912059]
COMMIT
# Completed on Sun Apr 8 13:58:15 2012
# Generated by iptables-save v1.4.4 on Sun Apr 8 13:58:15 2012
*nat
:PREROUTING ACCEPT [2252:183531]
:POSTROUTING ACCEPT [12:1798]
:OUTPUT ACCEPT [4946:440981]
[6644:569427] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Apr 8 13:58:15 2012
# Generated by iptables-save v1.4.4 on Sun Apr 8 13:58:15 2012
*filter
:INPUT ACCEPT [32:2065]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [12374:1052019]
[11:1334] -A INPUT -i lo -j ACCEPT
[3863:666794] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[109:19463] -A INPUT ! -i eth0 -m state --state NEW -j ACCEPT
[0:0] -A FORWARD -i eth2 -o eth1 -j DROP
[4184:1675399] -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[6342:1178844] -A FORWARD -i eth1 -o eth0 -j ACCEPT
[6:976] -A FORWARD -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
[6:386] -A FORWARD -i eth2 -o eth0 -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A FORWARD -i eth2 -o eth2 -j REJECT --reject-with icmp-port-unreachable
COMMIT


[da0c]

Такое что действительно идет eth2-eth0-eth1.
Попробуйте так:

iptables -I 1 FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP

[da0c]

В смысле, такое ощущение что идет eth2-eth0-eth1

[azalio]

Не работает это, к сожалению.

[da0c]

А так — iptables -I FORWARD 1 -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP

[azalio]

я там написал в апдейте что помогло.
iptables -A INPUT -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
первым правилом.

[da0c]

В смысле
iptables -I 1 FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
синтаксически не верно…

[azalio]

да, я исправил походу )

[da0c]

Тогда должно работать, сдаюсь :(

[da0c]

А, прочитал апдейт, хорошо что работает, а то я уже в мистику начал верить

Answer 5

[Sergey]

Правила файервола отрабатывают по первому совпадению сверху вниз. Если выше есть правило, под которое попадает этот трафик, все остальные не будут срабатывать.

Comments

[azalio]

Так нету.

Answer 6

[DobroFenix]

Поставьте MikroTik ROS и не мучайтесь, если трафика не очень много.
Вот правила от ROS, думаю, под iptables додумаете, как переписать

chain=forward action=drop src-address=192.168.1.0/24 dst-address=192.168.10.0/24
chain=forward action=drop src-address=192.168.10.0/24 dst-address=192.168.1.0/24

Как уже говорили правила кидать в самый верх

Comments

[azalio]

Я так понимаю это отдельная ОС? Мне это не подходит, к сожалению.

[da0c]

Кстати да,
iptables -I 1 FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
аналог того, что написано для ROS

[azalio]

это не работает.

Answer 7

[1x1]

192.168.1.1 принадлежит самому серверу, а не сети, находящейся за ним, так что правила для этого случая будут отличаться.

Comments

[azalio]

Что делать, как запретить?

[1x1]

Как обычный входящий пакет (INPUT/src/dst)

Answer 8

[WGARRET]

*удален*