Корректное правило в iptables?

Question

[Денис Сечин]

Есть шлюз на ubuntu 16, есть внутренняя сеть 10.20.32.0/24 мне нужно запретить трафик во внутренней сети между двумя пк.Если конкретно, мне нужно что-бы некий хост А выпал из сети, ну и потом обратился ко мне. Правило
iptables -A INPUT -s 10.20.32.233 -j DROP не срабатывет, т.е. я с этой машины отлично пингую шлюз. Заранее благодарен

Answer 1

[brar]

Пакеты между хостами одной и той же подсети не доходят до iptables, а обрабатываются непосредственно на свитче. То есть, iptables об их "общении" даже не знает.

Comments

[Денис Сечин]

kinvlad Я в принципе так и знал, вы подтвердили, спасибо. Тогда второй вопрос, а если хост а смотрит камеры с видеорегистратора он же хост Б. Как я могу запретить передачу видео между хостами? может на сквиде порт заблочить?

[CityCat4]

Денис Сечин: А хост А и хост Б в одной сети или в разных?

[Денис Сечин]

CityCat4: В том то и беда,что в одной

[brar]

Денис Сечин: в дополнение к ответу Руслан Федосеев , как варианты: 1) посмотреть в настройках ПО самого видеорегистратора, нет ли возможности оттуда блокировать IP-адреса; 2) удаленно на хосте А блокировать исходящие соединения к видерегистратору (если это линукс, то поставить тот же iptables, если винда - курить удаленное управление файрволом (типа netsh advfirewall firewall add rule name= бла бла бла).
В варианте №2 у Вас должны быть соотвествующие привилегии на хосте А.

[CityCat4]

Денис Сечин: Ну тогда файрволлом тут не справится. Ту спасет только настройка на регистраторе, ну а если и на нем нет (и лезть на хост А не хочется или нет возможности) - только настройки на свитче, если он управляемый. Если же и там нет - понять и простить :)

[Денис Сечин]

CityCat4: он то управляемый, но там нет port-security, можно только отрубить порт, но на нем к сожалению не только регистраторы висят, так как за ним ещё тупой свитч следует

Answer 2

[Руслан Федосеев]

запретить передачу трафика между узлами локальной сети на шлюзе невозможно. Только управляемое оборудование и управление трафиком на портах свича.

Comments

[Денис Сечин]

Руслан Федосеев Допустим хост А мониторит камеры через прогу, которые вещают видеорегистраторы они же хост Б, как мне запретить просмотри камер хосту А? через сквиду порт заблокировать?

[Руслан Федосеев]

причем тут сквид????
Если хост А и хост Б расположены в одной сети - трафик между ними всегда пойдет напрямую. Изменить это можно только так: - на порту свича, в который включен видеорегистратор, заблокировать пакеты от хоста А. Если у вас управляемое оборудование в сети - то вы это сможете. Если нет - выводите видеорегистратор в отдельную сеть, и фильтруйте на шлюзе

[Денис Сечин]

Руслан Федосеев: Спасибо

Answer 3

[krosh]

Если уж говорите про шлюз, то частично проблемы поможет создать такая команда:
iptables -A FORWARD -s 10.20.32.233 -j DROP

Чтобы сломать работу в локальной сети надо почитать про протокол ARP и воспользоваться с умом методами arp spoofing.

А пинги с шлюза идут возможно из-за того, что в цепочке правил выше стоит разрешающее правило. Ставьте дроп выше и смотрите на результат.