iptables를 사용하여 호스트 네트워크 격리

iptables를 사용하여 호스트 네트워크 격리

iptablesLinux 라우터를 사용하여 홈 인트라넷의 호스트를 격리하고 싶습니다 . 예를 들어, IP 주소가 인 호스트가 있고 이 호스트 10.0.1.50가 나머지 인터넷과 통신할 수 있기를 원하지만 라우터가 인터넷의 다른 호스트와 통신하는 것을 허용하지 않기를 바랍니다 10.0.1.0/24. 그러나 호스트에 연결이 생성되지 않은 경우 에만 호스트가 포트 10.0.1.0/24에 연결되도록 허용하고 싶습니다 10.0.1.50. 80이는 10.0.1.50손상을 방지하여 나머지 네트워크와 통신할 수 없도록 하기 위한 것입니다.

답변1

아마 당신이 잘못하고 있는 것 같습니다. 라우터는 10.0.1.50나머지 서브넷과의 통신을 차단할 수 없습니다 10.0.1.0/24.동일한 서브넷. 해당 서브넷에 있는 다른 호스트의 패킷은 10.0.1.50라우터를 통과하지 않으므로 필터링할 수 없습니다.

예를 들어, 해야 할 일은 별도의 서브넷을 설정하고 해당 서브넷 192.168.0.0/24에 넣는 것입니다 10.0.1.50(예: 새 IP ) 192.168.0.50. 그런 다음 해당 서브넷을 라우터의 별도 인터페이스에 연결하고 해당 인터페이스를 IP로 구성합니다 192.168.0.1. 그런 다음 필요에 따라 라우팅 규칙을 설정할 수 있습니다.

  • 설정된 관련 연결 허용
  • 10.0.1.0/24인터넷 연결 허용
  • 192.168.0.0/24인터넷 연결 허용
  • 10.0.1.0/24에서 연결 허용192.168.0.50:80
  • 다른 건 다 부정해

답변2

이렇게 하려면 레이어 4 대신 레이어 3에서 금지해야 하고, 레이어 4에서 한다면 새 서브넷을 정의해야 합니다.

관련 정보