Блокировать трафик в локальную сеть, но разрешить трафик в интернет (iptables)

Question

Блокировать трафик в локальную сеть, но разрешить трафик в интернет (iptables)

в моей домашней сети я настраиваю сервер CentOS, который будет использоваться примерно дюжиной или около того в образовательных целях-например, узнать, как использовать оболочку Linux и хост-сайты, среди прочего. У меня порт 22 и 80 порт на моем роутере так они смогут войти по SSH через Интернет.

поскольку я не могу полностью доверять этим пользователям, я в настоящее время пытаюсь заблокировать сервер как можно больше (проверка разрешений, блокировка торрентов и т. д.) Так как я не хочу людей исследуя остальные компьютеры в моей сети, хотя сервер, я хотел бы заблокировать трафик на компьютеры в локальной сети, все еще позволяя трафик в интернет.

Я не очень знаком с iptables, но я попытался установить несколько правил iptables - сначала он разрешает трафик до 192.168.1.1 (маршрутизатор) и 192.168.1.2 (компьютер, который я использую для настройки сервера), а затем блокирует трафик до 192.168.1.0/24 и регистрирует такой трафик. Оставшаяся часть трафика должна быть разрешена. Однако проблема заключается в том, что сервер не может подключиться к интернету.

вот моя текущая конфигурация iptables:

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            192.168.1.2
2    ACCEPT     all  --  0.0.0.0/0            192.168.1.1
3    LOGGING    all  --  0.0.0.0/0            0.0.0.0/0
4    DROP       all  --  0.0.0.0/0            192.168.1.0/24
5    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain LOGGING (1 references)
num  target     prot opt source               destination
1    LOG        all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5 LOG flags 0 level 7 prefix `DROP: '
2    DROP       all  --  0.0.0.0/0            0.0.0.0/0

пинг разрешенных IP-адресов (192.168.1.1 и 192.168.1.2) работает (хорошо), но пинг Google не (плохо):

[root@server ~]# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1950ms

[root@server ~]# ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
64 bytes from 192.168.1.2: icmp_seq=1 ttl=128 time=0.294 ms
64 bytes from 192.168.1.2: icmp_seq=2 ttl=128 time=0.270 ms

конечно, я понимаю, что существует определенный уровень доверия, связанный с предоставлением людям доступа к серверу в моей сети, но я все еще хочу его укрепить, насколько смогу. Если кто-то может прокомментировать другие вещи, которые я могу сделать, я бы тоже оценил.

спасибо заранее!

26

задан tlng5

21.04.2023 20:50 Количество просмотров материала

2704

2 ответа

97	58	29	68	5	8	10	6	4	19

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Email

Похожие вопросы про тегам:

iptables

linux

networking

score 2 · Answer 1

хорошо, я сам понял проблему, поэтому я отвечу на свой вопрос Для справки. Проблема состояла в том, что весь трафик проходил через цепочку регистрации, и второе правило цепочки регистрации отбрасывает весь трафик. Я просто удалил Правило 2 из цепочки журналов, и все работало.

score 0 · Answer 2

У меня аналогичная проблема, у меня есть устройство IOT с несколькими уязвимостями, которые я хочу сегрегировать в своей локальной сети, но его подключают через коммутатор с другими устройствами, которые я не хочу сегрегировать. Я пытался создать отдельную цепь и поставив ссылку на него в начале входной цепочки ничего с источником IoT для устройств или назначения проведения IoT устройства, а затем в новой цепи, если источник локальной сети и назначения Ив после падения или если источник IoT и назначения локальной сети затем падение, но я не могу заставить его отбросить пакеты, все еще может пинговать и получить доступ к устройству. даже попытался добавить мои правила в начало нескольких других цепочек, чтобы увидеть, имеет ли это значение, но не повезло - любые идеи?

b1tphr34k@RT-AC87U-C598:/tmp/home/root# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
TIVOFILTER  all  --  192.168.10.8         anywhere
TIVOFILTER  all  --  anywhere             192.168.10.8
logdrop    icmp --  anywhere             anywhere             icmp echo-request
logaccept  all  --  anywhere             anywhere             state RELATED,ESTABLISHED
logdrop    all  --  anywhere             anywhere             state INVALID
PTCSRVWAN  all  --  anywhere             anywhere
PTCSRVLAN  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere             state NEW
logaccept  udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
INPUT_ICMP  icmp --  anywhere             anywhere
logdrop    all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
DROP       all  --  192.168.10.8         192.168.10.0/24
DROP       all  --  192.168.10.0/24      192.168.10.8
logaccept  all  --  anywhere             anywhere             state RELATED,ESTABLISHED
logdrop    all  --  anywhere             anywhere
logdrop    all  --  anywhere             anywhere             state INVALID
logaccept  all  --  anywhere             anywhere
SECURITY   all  --  anywhere             anywhere
NSFW       all  --  anywhere             anywhere
logaccept  all  --  anywhere             anywhere             ctstate DNAT
logaccept  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  192.168.10.0/24      192.168.10.8
DROP       all  --  192.168.10.8         192.168.10.0/24

Chain ACCESS_RESTRICTION (0 references)
target     prot opt source               destination

Chain FUPNP (0 references)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             192.168.10.5         udp dpt:54927
ACCEPT     tcp  --  anywhere             192.168.10.7         tcp dpt:32400

Chain INPUT_ICMP (1 references)
target     prot opt source               destination
RETURN     icmp --  anywhere             anywhere             icmp echo-request
RETURN     icmp --  anywhere             anywhere             icmp timestamp-request
logaccept  icmp --  anywhere             anywhere

Chain NSFW (1 references)
target     prot opt source               destination
logdrop    udp  --  anywhere             anywhere             udp spt:https
logdrop    udp  --  anywhere             anywhere             udp dpt:https
logdrop    udp  --  anywhere             anywhere             udp spt:www
logdrop    udp  --  anywhere             anywhere             udp dpt:www
logdrop    icmp --  anywhere             anywhere             icmp timestamp-request
logdrop    icmp --  anywhere             anywhere             icmp timestamp-reply
RETURN     all  --  anywhere             anywhere

Chain PControls (0 references)
target     prot opt source               destination
logaccept  all  --  anywhere             anywhere

Chain PTCSRVLAN (1 references)
target     prot opt source               destination

Chain PTCSRVWAN (1 references)
target     prot opt source               destination

Chain SECURITY (1 references)
target     prot opt source               destination
RETURN     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
logdrop    tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN
RETURN     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
logdrop    tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST
RETURN     icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
logdrop    icmp --  anywhere             anywhere             icmp echo-request
RETURN     all  --  anywhere             anywhere

Chain TIVOFILTER (2 references)
target     prot opt source               destination
DROP       all  --  192.168.10.0/24      192.168.10.8
DROP       all  --  192.168.10.8         192.168.10.0/24

Chain logaccept (8 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "ACCEPT "
ACCEPT     all  --  anywhere             anywhere

Chain logdrop (14 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "DROP "
DROP       all  --  anywhere             anywhere

Apple	$173,24	+0,81%
Amazon	$114,49	-1,94%
Microsoft	$325,19	+3,61%
Google	$123,44	+2,11%
Netflix	$364,74	-0,03%
Intel	$27,45	-5,34%
Facebook	$254,49	+2,11%
Tesla	$185,54	+1,44%
Tencent	$322,40	-3,01%