네트워크에서 컴퓨터를 격리하는 방법
격리된 IP: 10.17.15.99
서브넷: 10.17.15.0
게이트웨이: 10.15.15.1
시험을 마친:
iptables -I INPUT -s 10.17.15.99 -d 10.17.0.0/24 -j DROP
다음을 수행해야 합니다.
- .99 IP에서 인터넷에 액세스
- 서브넷에서 액세스
- 이 IP에서 서브넷으로의 모든 연결을 제거합니다.
답변1
10.17.0.0/24서브넷에서 으로의 트래픽을 허용하고 반대 방향으로는 트래픽을 허용하지 않으려는 경우 10.17.15.99이는 조금 더 까다로워집니다 . 문제는 10.17.15.99에서 들어오는 트래픽에 응답할 때 10.17.0.0/24이를 허용해야 한다는 것입니다.
iptables 상태 추적을 통해 이 문제를 해결할 수 있습니다. 아이디어는 새로운 연결이 상자에서 아웃바운드로 나가는 것을 방지하고 인바운드로 들어오는 것을 허용하는 것입니다. 먼저 다음 내용을 읽어보는 것이 좋습니다.http://www.iptables.info/en/connection-state.html#USERLANDSTATES
따라서 다음 규칙이 이를 처리해야 합니다.
iptables -A FORWARD -s 10.17.15.99 -d 10.17.0.0/24 -m state --state NEW -j DROP
10.17.15.99위의 규칙은 해당 상자의 트래픽을 처리하는 게이트웨이/라우터 에 배치되어야 합니다 . 유일한 다른 옵션은 상자 자체에 필터를 놓는 것입니다. 이 경우 FORWARD로 변경 OUTPUT.
이 state모듈은 UDP도 지원하므로 TCP뿐만 아니라 UDP에서도 작동해야 합니다.
답변2
규칙 은 iptables ... DROP괜찮아 보이지만 지정한 서브넷이 액세스를 차단하려는 서브넷이 아닌가요?
더 자세한 도움이 필요하면 네트워크를 더 잘 설명해야 합니다.