Linux: gép csak helyi hálózatot érje el, netet ne? (bővebben lent)
Linux alatt (Debian vagy Ubuntu) például tűzfalszabályokkal miképpen lehet elérni router mögött lévő gépek esetén, hogy egy gép csak a helyi hálózatos gépekkel tudjon kommunikálni, a netre ne tudjon kimenni és ne is láthassa a netet?
Routr régi, azon nem állíthatóak ilyenek.
Például a Linux-oss gép IP címe 192.168.1.9 és az összes helyi hálózatos géppel kommunikálhat, de a net felé nem, se ki se be.
Ez interfészektől is függ. :)
Azért nehéz, mert - mivel nem a gép a router - ezért egyetlen interface amit tudok állítani, meg itt a connection tracking se segít attól félek...
Habár talán ha megadom hogy a "state established, related" csomagokat fogadja és a "new" csomagokat is x IP címről talán úgy fog működni.
Amúgy ha van kedved, leírod a megoldásodat? :)
válasza:Nem írjuk le a megoldást, mert azzal nem tanulsz. Gondold át logikailag, hogy működik a hálózat, és mit kellene letiltani és engedélyezni hozzá?
Hint: Gateway
válasza: válasza:"Nem írjuk le a megoldást, mert azzal nem tanulsz."
Tizen x éve nagy Iptables guru voltam és simán megoldottam ilyen dolgokat :) azóta nem használtam és "mindent elfelejtettem" persze ezt bizonyítani nem tudom. :)
"Gondold át logikailag, hogy működik a hálózat, és mit kellene letiltani és engedélyezni hozzá?"
Igen, az a legegyszerűbb, ha a router felől érkező (vagy a gép felől a router felé küldött) csomagok automatikusan eldobásra kerülnek.
"Hint: Gateway"
Ha a router blokkolásra kerül, akkor az nem akadályozza meg a helyi hálózat egyéb gépeivel történő kommunikációt? (hiszen a router biztosítja ezeket, alhálózatot hozva létre a gép számára. A router hogyan-milyen módon vesz részt a kommunikációban ezesetben, azt nem tudom. Azt hogy helyileg lehet DNS-t beállítani a gépeknek és a router feloldja IP alapján, a megadott nevet hozzárendelve azt tudom, de hogy egyéb - más kommunikációt segít -e a router a gépek közt azt nem tudom.
válasza:Hűha. Router nem ugyanaz mint a switch. Képzeld nem fogja.
Mert, hogy kimenny az internetre, a 192.168.1.1 felé kell menni, ha ez a gateway. Tehát ez lesz a cél IP. De ha másik gép felé akarsz menni, akkor nem a 192.168.1.1 felé mész kérlek, hanem pl. a 192.168.1.10 felé.
Nézd meg azt az eszközt és a switch portjai sárgák lesznek, amit router-nek nevezel. Router nem más, mint cím fordítás aminek 1 input és 1 output-ja van. Switch része bele van építve, ami abból a router másik portjából táplálkozik, amit most 1.1-nek címzünk. WIFI dettó de az inkább Layerben különbözik, de szintúgy a LAN része. Csak azt is "router"-nek hívják, mikor lényegében AccessPoint.
Tehát, ha letiltod a 192.168.1.1-et, ugyanúgy tudsz kommunikálni, ha be van dugva a router (mint hardware) sárga portjába a RJ45.
Köszönöm a választ.
Router alatt sima router-t értettem, ami NAT-olást - és egyebeket végez, nem sima switch-et.
válasza:Csak megjegyzem hogy NEM a router blokkolásráról van szó!
Hanem fake_gateway megadásáról a PC-n. Ha a gép egy switchen keresztül kapcsolódik a routerhez akkor biztos működne, de ha direktbe van rákötve akkor ki kell próbálni.
válasza:#9:
Kösz, kipróbáltam és "rossz" címet adtam az átjárónak egy gépen:
- switch-en keresztül van net, (csak nagyobb várakozási idővel)
- közvetlenül a router-re csatlakozva viszont nincs semmilyen netes kommunikáció. (de a helyi gépeket elérem)
További kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!