Подобно тому, как "Беспроводная изоляция" работает как функция на продвинутых маршрутизаторах, я хочу убедиться, что проводные клиенты не могут получить доступ к любым другим членам LAN/VLAN (но они должны иметь доступ к Интернету).

Каждому из четырех физических портов для проводных устройств был назначен статический IP-адрес (xxx66, как показано ниже), и каждый находится в своей собственной VLAN. Я хочу убедиться, что они не могут поразить любые другие устройства в своей VLAN.

Вот что я добавил в скрипт брандмауэра маршрутизатора:

iptables -I FORWARD -s 10.0.1.66 -d 10.0.1.0/24 -p all -j DROP
iptables -I FORWARD -s 10.0.2.66 -d 10.0.2.0/24 -p all -j DROP
iptables -I FORWARD -s 10.0.3.66 -d 10.0.3.0/24 -p all -j DROP
iptables -I FORWARD -s 10.0.4.66 -d 10.0.4.0/24 -p all -j DROP

К сожалению, это не мешает мне пинговать, например, с 10.0.1.66 по 10.0.1.116. Все остальное в моей настройке iptables работает как положено.

Вот полный вывод Iptables (обратите внимание, что br0-br3 - это VLAN):

iptables -L -n -v
Chain INPUT (policy DROP 21 packets, 2322 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  br3    *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  br3    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
    0     0 ACCEPT     udp  --  br3    *       0.0.0.0/0            0.0.0.0/0           udp dpt:67 
    0     0 ACCEPT     icmp --  br3    *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     tcp  --  br3    *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset 
    0     0 REJECT     all  --  br3    *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
    0     0 ACCEPT     udp  --  br2    *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  br2    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
    0     0 ACCEPT     udp  --  br2    *       0.0.0.0/0            0.0.0.0/0           udp dpt:67 
    0     0 ACCEPT     icmp --  br2    *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     tcp  --  br2    *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset 
    0     0 REJECT     all  --  br2    *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
    0     0 ACCEPT     udp  --  br1    *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  br1    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
    2  1152 ACCEPT     udp  --  br1    *       0.0.0.0/0            0.0.0.0/0           udp dpt:67 
    0     0 ACCEPT     icmp --  br1    *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     tcp  --  br1    *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset 
    0     0 REJECT     all  --  br1    *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
   34  2951 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
  369 49487 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    2   180 shlimit    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW 
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  102  8187 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br1    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br2    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br3    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     2    --  *      *       0.0.0.0/0            224.0.0.0/4         
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.0/4         udp dpt:!1900 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       10.0.4.66            10.0.4.0/24         
    0     0 DROP       all  --  *      *       10.0.3.66            10.0.3.0/24         
    0     0 DROP       all  --  *      *       10.0.2.66            10.0.2.0/24         
    0     0 DROP       all  --  *      *       10.0.1.66            10.0.1.0/24         
 1456  377K            all  --  *      *       0.0.0.0/0            0.0.0.0/0           account: network/netmask: 10.0.1.0/255.255.255.0 name: lan 
    6   328            all  --  *      *       0.0.0.0/0            0.0.0.0/0           account: network/netmask: 10.0.2.0/255.255.255.0 name: lan1 
    4   160            all  --  *      *       0.0.0.0/0            0.0.0.0/0           account: network/netmask: 10.0.3.0/255.255.255.0 name: lan2 
   18  1136            all  --  *      *       0.0.0.0/0            0.0.0.0/0           account: network/netmask: 10.0.4.0/255.255.255.0 name: lan3 
    0     0 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br1    br1     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br2    br2     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br3    br3     0.0.0.0/0            0.0.0.0/0           
    5   200 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
 1367  363K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 DROP       all  --  br0    br1     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br0    br2     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br0    br3     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br1    br0     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br1    br2     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br1    br3     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br2    br0     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br2    br1     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br2    br3     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br3    br0     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br3    br1     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br3    br2     0.0.0.0/0            0.0.0.0/0           
    3   147 wanin      all  --  vlan2  *       0.0.0.0/0            0.0.0.0/0           
  109 15477 wanout     all  --  *      vlan2   0.0.0.0/0            0.0.0.0/0           
  107 15377 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    1    60 ACCEPT     all  --  br1    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br2    *       0.0.0.0/0            0.0.0.0/0           
    1    40 ACCEPT     all  --  br3    *       0.0.0.0/0            0.0.0.0/0           
    3   147 upnp       all  --  vlan2  *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 326 packets, 202K bytes)
 pkts bytes target     prot opt in     out     source               destination         

1 ответ1

1

Я думаю, у вас есть неправильное понимание сетевых уровней и того, как доставляется трафик.

Кажется, вам не хватает того, что устройства в одной локальной сети обмениваются данными на уровне 2. Трафик не будет проходить через маршрутизатор уровня 3, за исключением случаев, когда он перемещается из одной сети (ЛВС) в другую, он проходит напрямую от одного устройства к другому в той же ЛВС, используя адрес ЛВС уровня 2 (например, MAC).

Некоторые коммутаторы обеспечивают требуемый тип изоляции. Поиск частных VLAN. Вы также можете создать отдельные VLAN и адреса для каждого, а также подключить устройства к отдельным VLAN. Затем вы могли бы предотвратить трафик на уровне 3 (например, IPv4 и / или IPv6) от пересечения VLAN.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .