Denuncie   Favoritos   Indicar  

Direcionar clientes dhcp somente para uma rede [RESOLVIDO]

1. Direcionar clientes dhcp somente para uma rede [RESOLVIDO]

Leonardo Piffero Curti
CurT1
(usa Debian)

Enviado em 18/11/2017 - 11:39h

Tenho um servidor com 2 interfaces de rede, eth1 paga dhcp 192.168.2.0/24, eth0 está configurada para receber dhcp (geralmente de um roteador que paga internet), o que acontece:
- Ligo o servidor e pago dhcp na rede 192.168.2.0/24 pela porta eth1
- Conecto um ponto de internet na porta eth0
- Já com acesso a internet no servidor, levanto uma VPN para a rede 10.0.0.0/8
Uso o webmin, então ele já faz as rotas automáticas, sendo assim, os clientes dhcp da porta eth1 conseguem acesso à internet e à rede da VPN.
E estou precisando que os clientes da eth1 saiam somente para a rede 10.0.0.0/8 (vpn) e tb tenham acesso a rede 192.168.2.0/24.
Não entendo muito de IPTables, quais regras posso usar para isso?

Obs: Eu criei 2 regras: uma dizendo que se origem 192.168.2.0/24 e destino 10.0.0.0/8 accept
e outra dizendo que se origem 192.168.2.0/24 e destino diferente de 10.0.0.0/8 drop
No momento em que as regras começaram a ser executadas eu perdi acesso ao servidor 192.168.2.1:10000, mas ainda conseguia acessar a internet e a rede da VPN.
Agradeço desde já.

0 0
  • Quote

    •   


    2. MELHOR RESPOSTA

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 19/11/2017 - 22:10h

    CurT1 escreveu:

    Então, o firewall está zerado, o servidor é recém criado, eu criei essas duas regras e como não deu certo, dei um iptables -F.
    Se eu adicionar uma regra dizendo que se destino for diferente de 10.0.0.0/8 ou 192.168.2.0/24 drop ou reject, será que consigo manter conexão somente com estas duas redes e eliminar o acesso à internet?


    Você quer acesso só à rede 10.0.0.0/8?
    Então terá que fazer:

    iptables -A FORWARD -s 192.168.2.0/24 -o eth0 -j DROP

    eth0 é sua interface de internet. Né?! Como você tem acesso só à rede 10.0.0.0/8, 192.168.2.0/24 e ao default GW (internet - 0.0.0.0/0) então essa regra impede que a faixa 192.168.2.0/24 conecte-se à internet. O resto será mantido.

    Com relação aos acessos de endereços locais na mesma faixa não é necessário intervir, pois o router só vai controlar comutação entre interfaces; se estão todos na eth1 na faixa 192.168.2.0/24, então irão se comunicar sem intermédio do servidor.
    0 0
  • Quote

    • 3. Re: Direcionar clientes dhcp somente para uma rede

    Leonardo Piffero Curti
    CurT1
    (usa Debian)

    Enviado em 18/11/2017 - 19:16h

    Alguém alguma ideia?

    0 0
  • Quote

    • 4. Script Firewall

    Jesus Leal
    jjleal
    (usa Debian)

    Enviado em 19/11/2017 - 17:04h

    Olá amigo! Tem como postar seu script de firewall aqui?

    0 0
  • Quote

    • 5. Re: Direcionar clientes dhcp somente para uma rede

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 19/11/2017 - 19:41h

    Não quer que acessem internet? Aparentemente está correto se não quiser, posta seu script.

    0 0
  • Quote

    • 6. Re: Direcionar clientes dhcp somente para uma rede

    Leonardo Piffero Curti
    CurT1
    (usa Debian)

    Enviado em 19/11/2017 - 20:05h

    Então, o firewall está zerado, o servidor é recém criado, eu criei essas duas regras e como não deu certo, dei um iptables -F.
    Se eu adicionar uma regra dizendo que se destino for diferente de 10.0.0.0/8 ou 192.168.2.0/24 drop ou reject, será que consigo manter conexão somente com estas duas redes e eliminar o acesso à internet?

    0 0
  • Quote

    • 7. Re: Direcionar clientes dhcp somente para uma rede [RESOLVIDO]

    Leonardo Piffero Curti
    CurT1
    (usa Debian)

    Enviado em 20/11/2017 - 17:48h

    LSSilva escreveu:

    CurT1 escreveu:

    Então, o firewall está zerado, o servidor é recém criado, eu criei essas duas regras e como não deu certo, dei um iptables -F.
    Se eu adicionar uma regra dizendo que se destino for diferente de 10.0.0.0/8 ou 192.168.2.0/24 drop ou reject, será que consigo manter conexão somente com estas duas redes e eliminar o acesso à internet?


    Você quer acesso só à rede 10.0.0.0/8?
    Então terá que fazer:

    iptables -A FORWARD -s 192.168.2.0/24 -o eth0 -j DROP

    eth0 é sua interface de internet. Né?! Como você tem acesso só à rede 10.0.0.0/8, 192.168.2.0/24 e ao default GW (internet - 0.0.0.0/0) então essa regra impede que a faixa 192.168.2.0/24 conecte-se à internet. O resto será mantido.

    Com relação aos acessos de endereços locais na mesma faixa não é necessário intervir, pois o router só vai controlar comutação entre interfaces; se estão todos na eth1 na faixa 192.168.2.0/24, então irão se comunicar sem intermédio do servidor.


    Funcionou perfeitamente, muito obrigado!

    1 0
  • Quote

    • 8. Re: Direcionar clientes dhcp somente para uma rede [RESOLVIDO]

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 20/11/2017 - 21:27h

    CurT1 escreveu:

    LSSilva escreveu:

    CurT1 escreveu:

    Então, o firewall está zerado, o servidor é recém criado, eu criei essas duas regras e como não deu certo, dei um iptables -F.
    Se eu adicionar uma regra dizendo que se destino for diferente de 10.0.0.0/8 ou 192.168.2.0/24 drop ou reject, será que consigo manter conexão somente com estas duas redes e eliminar o acesso à internet?


    Você quer acesso só à rede 10.0.0.0/8?
    Então terá que fazer:

    iptables -A FORWARD -s 192.168.2.0/24 -o eth0 -j DROP

    eth0 é sua interface de internet. Né?! Como você tem acesso só à rede 10.0.0.0/8, 192.168.2.0/24 e ao default GW (internet - 0.0.0.0/0) então essa regra impede que a faixa 192.168.2.0/24 conecte-se à internet. O resto será mantido.

    Com relação aos acessos de endereços locais na mesma faixa não é necessário intervir, pois o router só vai controlar comutação entre interfaces; se estão todos na eth1 na faixa 192.168.2.0/24, então irão se comunicar sem intermédio do servidor.


    Funcionou perfeitamente, muito obrigado!


    De nada, eu que agradeço por classificar e encerrar o tópico.

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Enviar mensagem ao usuário trabalhando com as opções do php.ini

    Meu Fork do Plugin de Integração do CVS para o KDevelop

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    Dicas

    Criando uma VPC na AWS via CLI

    Multifuncional HP imprime mas não digitaliza

    Dica básica para escrever um Artigo.

    Como Exibir Imagens Aleatórias no Neofetch para Personalizar seu Terminal

    Visualizar a árvore de arquivos no terminal

    Tópicos

    Função que recebe 20 números inteiros e retorna o 6° maior elemento do... (2)

    Kernel panic not syncing (0)

    Melhorando a precisão de valores flutuantes em python[RESOLV... (15)

    Mint começou a apresentar varios erros (2)

    Recuperar arquivos de HD em formato RAW usando Linux (1)

    Top 10 do mês

    Scripts

    [Shell Script] Criador de playlist

    [Shell Script] Instalador de programas

    [Python] Automação de scan de vulnerabilidades de URL

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: