2

У меня есть система CentOS 7 с 2 сетевыми картами (eth0 и eth1).

Конфигурации NIC:

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
      inet 10.43.96.210  netmask 255.255.255.192  broadcast 10.43.96.255

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
      inet 146.81.34.150  netmask 255.255.255.128  broadcast 146.81.34.255

Моя текущая таблица маршрутизации:

Kernel IP routing table
Destination    Gateway        Genmask         Flags Metric Ref    Use Iface
0.0.0.0        10.43.96.193   0.0.0.0         UG    100    0        0 eth0
10.43.96.192   0.0.0.0        255.255.255.192 U     100    0        0 eth0
146.81.34.0    0.0.0.0        255.255.255.128 U     0      0        0 eth1
146.81.34.128  146.81.34.254  255.255.255.128 UG    0      0        0 eth1
169.254.0.0    0.0.0.0        255.255.0.0     U     1003   0        0 eth1

Сетевой адаптер eth0 подключен к сети 10.43.96.x, а шлюз по умолчанию (10.43.96.193) используется для исходящих подключений к общедоступному Интернету с компьютеров в сети 10.43.96.x.

NIC eth1 подключен к сети 146.81.34.128/25 (IP-адрес NIC 146.81.34.150, маска сети 255.255.255.128, gw 146.81.34.254, они определяются заказчиком) и должен получить доступ к серверу по IP 146.81.34.11.

Другие серверы из сети 146.81.0.0/16 должны связаться с моим сервером (146.81.34.150) с помощью ping (через шлюз 146.81.34.254). Например, сервер 146.81.23.95 должен пропинговать мой сервер. Я не знаю больше о сети и деталях конфигурации маршрутизации в этой сети, мне сказали использовать их шлюз 146.81.34.254.

Текущая проблема:

Клиент говорит, что другие серверы из сети 146.81.0.0/16 (146.81.xx) могут правильно подключиться к сети 146.81.34.128/25 (и, таким образом, могут получить доступ к моему серверу 146.81.34.150 с помощью ping). Это отлично.

Однако другие серверы в сети 146.81.0.0/16 теперь пытаются получить доступ к другим IP-адресам (в других сетях, отличных от 146.81.34.128/25) через мой сервер, используя мой шлюз по умолчанию (10.43.96.193), что следует предотвратить.

Вопрос:

Как я должен предотвратить перенаправленные соединения через этот сервер с серверов в сети 146.81.0.0/16? Они не должны использовать шлюз по умолчанию (10.43.96.193) на моем сервере.

|источник

1 ответ1

0

Как я должен предотвратить перенаправленные соединения через этот сервер с серверов в сети 146.81.0.0/16?

Простейшим вариантом было бы полностью отключить пересылку IP через sysctl:

  • net.ipv4.conf.all.forwarding=0
  • net.ipv6.conf.all.forwarding=0

Если некоторые виды трафика должны перенаправляться через сервер, а другие - нет, используйте брандмауэр - просто добавьте правила, принимающие требуемый трафик, и отклоняющие (или отбрасывающие) остальные.

  • iptables имеет цепочку FORWARD именно для этой цели.
  • у нфт также есть forward крюк.
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .