Всем привет
проверьте плиз правила на корректностьЗадание.
eth1 - внутренний интерфейс.
eth0 - внешний интерфейс.
ext_ip - адрес интерфейса шлюза в сети интернет, статический. (192.168.1.85)
со стороны локальной сети 3 сегмента vlan, в каждом своя ip-сеть. На интерфейсе ethX настроены 3 саб-интерфейса:
eth1:1 - vlan1, 192.168.1.0/24 (адрес шлюза 192.168.1.1)
eth2:2 - vlan2, 192.168.2.0/24 (адрес шлюза 192.168.2.1)
eth3:3 - vlan3, 192.168.3.0/24 (адрес шлюза 192.168.3.1)
задача:
vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся к легитимным соединениям.
vlan2 и vlan3 доступ в интернет закрыт.
между vlan2 и vlan3 разрешен обмен любым трафиком.
между vlan1 и vlan2 разрешен обмен трафиком по протоколу icmp, остальной трафик закрыт.
между vlan1 и vlan3 разрешен обмен трафиком по протоколу http (веб-сервер находится в vlan3, адрес сервера произвольный).
доступ к шлюзу из всех vlan открыт по всем протоколам.
доступ к шлюзу из сети интернет закрыт полностью.
Ответ
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся к легитимным соединениям.
iptables -A INPUT -eth0 -s 192.168.1.0 -j ACCEPT
iptables -A OUTPUT -m state -d 192.168.1.0 -o eth0 --state ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -o eth0 -s 192.168.1.0 -j SNAT --to-source 192.168.1.85
между vlan2 и vlan3 разрешен обмен любым трафиком.
iptables -A INPUT -p ALL -i eth1.2 -s 192.168.3.0 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth1.2 -d 192.168.3.0 -j ACCEPT
iptables -A INPUT -p ALL -i eth1.3 -s 192.168.2.0 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth1.3 -d 192.168.3.0 -j ACCEPT
между vlan1 и vlan2 разрешен обмен трафиком по протоколу icmp, остальной трафик закрыт.
iptables -A INPUT -p ICMP -i eth1.1 -s 192.168.2.0 -j ACCEPT
iptables -A OUTPUT -p ICMP -o eth1.1 -d 192.168.2.0 -j ACCEPT
iptables -A INPUT -p ICMP -i eth1.2 -s 192.168.1.0 -j ACCEPT
iptables -A OUTPUT -p ICMP -o eth1.1 -d 192.168.1.0 -j ACCEPT
между vlan1 и vlan3 разрешен обмен трафиком по протоколу http (веб-сервер находится в vlan3, адрес сервера произвольный).
iptables -A INPUT -p TCP -i eth1.1 -s 192.168.3.80 --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP -o eth1.1 -d 192.168.3.80 --sport 80 -j ACCEPT
iptables -A INPUT -p TCP -i eth1.3 -s 192.168.1.0 --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP -o eth1.3 -d 192.168.1.0 --sport 80 -j ACCEPT
доступ к шлюзу из всех vlan открыт по всем протоколам.
iptables -A INPUT -i eth0 -s 192.168.2.0 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.2.0 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.3.0 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.3.0 -j ACCEPT
vlan2 и vlan3 доступ в интернет закрыт; доступ к шлюзу из сети интернет закрыт полностью.
Это вроде следует из политик по умолчанию
Версия для распечатки
Ivan, 
Ilovewanya, 15-Ноя-13, 12:59 [смотреть все]
