[uanog] linux ip firewall
Volodymyr Litovka
doka at xlit.one
Fri May 17 16:50:43 EEST 2019
Решение - использовать два раутера (один для внутренней сети, второй -
для подключения к Инету) - мне известно :) Вопрос - можно-ли выкрутиться
одним раутером.
On 5/17/19 4:14 PM, Volodymyr Litovka wrote:
> Привет,
>
> попросили помочь с одной конфигурацией, но у меня затык, может кто
> подскажет.
>
> Есть микрот (другими словами - Linux), у которого есть интерфейсы LAN,
> Inet и несколько VPN-туннелей (over Inet). В VPN поднят OSPF и
> статического списка внутренних сетей нет.
> NAT включен на out interface Inet.
>
> Задача - запретить выход в Интернет для некоторых хостов из LAN -
> решается просто добавлением списка этих хостов в исключение NAT-правила.
> А вот как включить фильтрацию на внешнем интерфейсе и дропать пакеты
> из внутренней сети (с целью избежания анализа трафика и получения
> информации о структуре внутренней сети) уже не получается, поскольку
> NAT является последним процессом в postrouting
> (https://www.booleanworld.com/depth-guide-iptables-linux-firewall/)
>
> И я не нахожу приемлемого решения:
> - включать NAT на LAN (ну чтобы потом в postrouting запретить
> внутренние адреса) - нельзя, потому что есть VPN-туннели, в которых
> трафик должен бегать в неизменном виде
> - для фильтрации на LAN ("запретить всё, что не разрешено") нет
> критериев, потому что раутинг строится на основе OSPF и списка
> "разрешенных сетей" как такового нет
> - перенести хосты в другую подсеть: во-первых, нереально, а,
> во-вторых, ничего не дает по озвученным выше причинам
> - убрать default на хостах не рассматривается ввиду того, что
> выполнение этого правила сложно контролировать :)
>
> Подскажите, пожалуйста, как в такой схеме можно: запретить доступ
> некоторым хостам к интернету без потери конфиденциальности.
>
> Спасибо.
>
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
More information about the uanog
mailing list