Фильтрация ip с помощью iptables

[4tva4ek]

Интересует вот такой вопрос:

Есть 2 сетевухи (eth0 и eth1) смотрящие в разны сети. И с той и с другой стороны есть одинаковые ip диапазоны. Как сделать так, чтобы с одной забанить повторные диапазоны, а с другой разрешить? Что надо прописывать?

[avb]

Интересует вот такой вопрос:

Есть 2 сетевухи (eth0 и eth1) смотрящие в разны сети. И с той и с другой стороны есть одинаковые ip диапазоны. Как сделать так, чтобы с одной забанить повторные диапазоны, а с другой разрешить? Что надо прописывать?

-s DENY_RANGE/MASK -o eth0 -j DROP
-s ALLOW_RANGE/MASK -o eth1 -j ACCEPT
?

[Shura]

очень и очень странная сеть. А маршрутизация как работает?

[Bohtvaroh]

Интересует вот такой вопрос:

Есть 2 сетевухи (eth0 и eth1) смотрящие в разны сети. И с той и с другой стороны есть одинаковые ip диапазоны. Как сделать так, чтобы с одной забанить повторные диапазоны, а с другой разрешить? Что надо прописывать?

Возможно стоит задуматься о создании нормальной архитектуры сети? Если это по каким-либо причинам невозможно, то прошу меня простить за вмешательство.

[4tva4ek]

”создании нормальной архитектуры сети” в моем случаи не прокатит, т.к. существует две разрозненных сети (без какого либо шлюза между собой) где с обоих сторон задействованы одинаковые диапазоны (их довольно много - около 40 повторных)

Первую сеть я втыкаю в eth1. Ее мне надо поставить главной (по дефалту) и разрешить на нее доступ с людого ip, кроме тех что пропишу на eth0.

На eth0 надо забанить все ip и прописать около 30 диапазонов.

То есть я так понимаю мне надо вписать что то типа того, что если ip попадает в созданную мной таблицу то его будете пропускать (ACCEPT) на eth0, а если нет то тогда DROP. Тоже самое и на eth1, только наоборот – если есть в таблице диапазонов, то DROP, а если нет, то ACCEPT.

С iptables в принципе почти не знаком. Начинаю постепенно в синтаксис вникать. Так что просьба писать по подробнее.

В общем помогите реализовать задуманное… Заранее спасибо…

[rolano]

Согласен с формучанами - надо сделать нормальную сеть. Несмотря на демократичность сетевого хозяйства, оно требует четкого соблюдения стандартов. Вы слышали, чтобы где-то в мире было два "белых" IP? А соединение "диких" сетей - дело практически дохлое. Собственно, кто поручится за то, что не появиться новых областей пересечения? ИМХО надо делать нормальные подсети.

[Sleeping Daemon]

”создании нормальной архитектуры сети” в моем случаи не прокатит, т.к. существует две разрозненных сети (без какого либо шлюза между собой) где с обоих сторон задействованы одинаковые диапазоны (их довольно много - около 40 повторных)

А что такое одинаковые диапазоны? Пример в разрезе этих 2 сетей можно?

[hudbrog]

Согласен с формучанами - надо сделать нормальную сеть. Несмотря на демократичность сетевого хозяйства, оно требует четкого соблюдения стандартов. Вы слышали, чтобы где-то в мире было два "белых" IP? А соединение "диких" сетей - дело практически дохлое. Собственно, кто поручится за то, что не появиться новых областей пересечения? ИМХО надо делать нормальные подсети.

на самом деле с описаными косяками лично я сталкивался когда, например, подключаешься к сразу двум домонетам. сети построены грамотно, они независимы, а потому используют одни и те-же диапазоны приватных адресов.
вот в таких случаях и приходица писать кучи статических маршрутов, и изобретать прочие-подобные велосипеды %)

[rolano]

Когда сети объединяются, они перестают быть независимыми. Для того и есть серые и белые адреса. Пока Вы в локалке - юзайте сколько хотите и какие хотите адреса. Если хотите объединиться с кем-то - нужно согласовать диапазоны. А если сети хотят быть независимыми - пусть ставять шлюзы и сами рулят внутри себя. А описываемый геморой - это ненормально.
Может быть товарищ просто хочет одновременно сидеть в двух локалках? Ну тогда - Бог в помощь. Судя по всему он - не админ, а потому даже не будет знать об изменениях в каждой из них, в результате чего НИКОГДА эти два соединения не будут вместе работать нормально.

[4tva4ek]

О том что сети должны соединиться и поставить между собой шлюз никто не спорит. Но в моей ситуации это не возможно, т.к существует две сети – одна из которых собрание ‘домашних сетей’ с численностью более 6000 человек (с грамотной маршрутизацией и радиолинками между городами), а другая – коммерческая сеть с численностью более 4000 человек. (с политикой полной обособленность от ‘домашних сетей’) По этому в них и встречаются одинаковы ip диапазоны. (например и с той и с другой стороны есть 192.168.1.*, 192.168.2.*, 172.17.*.*. и т.д.)

Я в свою очередь обладаю определенным ресурсом, который хотят юзать обе стороны. Для этого мне и надо заблокировать повторные ip диапазоны с одной стороны. - со стороны коммерческой сети , которая постепенно будет убирать эти повторные диапазоны (только для этого нужно время)

Насчет того, что я не админ rolano ты совершенно прав, но я знаю админов и с той и с другой стороны и хорошо осведомлен об изменениях в диапазонах и тех и других.

Avb а можно ли писать вот так и корректно это будет работать?

-s 192.168.1.0/255.255.255.0 -o eth0 -j DROP
-s 192.168.2.0/255.255.255.0 -o eth0 -j DROP
-s 172.17.0.0/255.255.0.0 -o eth0 -j DROP

или лучше создать таблицу куда вписать все эти диапазоны? Не подскажешь как это сделать ?

[Shura]

т.е. маршрутизировать из одной сети в другую ничего не надо? Обращения будут идти только на твой сервер? Если да, то все настраивается элементарно.

iptables -A INPUT -i eth0 192.168.0.0/24 -j DROP
iptables -A INPUT -i eth1 192.168.0.0/24 -j ACCEPT

вот в таком вот ключе.

[Targon]

В одной фирме объединились с другой и у них были 192.168.1.x , пришлось использовать pppoe, накладывая поверх реальных IP пппое-шные, так и перебрались, но лучше уж по-человечески все сделать!
Хотя может я что-то не понял тама, рассказывали как анекдот и долго смеялись!

[4tva4ek]

Совершенно верно, маршрутизировать ничего не надо, надо только что бы мой сервер был доступен с двух сторон.

Вот еще вопросы:

1. Можно ли писать вот так:
На eth0:
iptables -A INPUT -i eth0 192.168.0.0/255.255.0.0 -j DROP
iptables -A INPUT -i eth0 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -i eth0 192.168.2.0/24 -j ACCEPT
iptables -A INPUT -i eth0 192.168.3.0/24 -j ACCEPT
На eth1:
iptables -A INPUT -i eth1 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A INPUT -i eth1 192.168.1.0/24 -j DROP
iptables -A INPUT -i eth1 192.168.2.0/24 -j DROP
iptables -A INPUT -i eth1 192.168.3.0/24 -j DROP
?

2. Как посмотреть списки iptables ?

3. Как удолить что либо из iptables ?

[Shura]

1. Можно
2. iptables -L
3. iptables -D

[rolano]

Я в свою очередь обладаю определенным ресурсом, который хотят юзать обе стороны. Для этого мне и надо заблокировать повторные ip диапазоны с одной стороны. - со стороны коммерческой сети , которая постепенно будет убирать эти повторные диапазоны (только для этого нужно время)

↑

А как коммерческая сеть сможет это сделать - ведь домашние сети будут развиваться сами по себе и проблема пересечения диапазонов все равно не исчезнет? Вопрос ведь не в текущем моменте.

[4tva4ek]

Так с этим вроде все понятно, кроме:
3. iptables –D

Как надо писать чтобы удалить допустим
iptables -A INPUT -i eth0 192.168.0.0/255.255.0.0 -j DROP
?

По ходу возникло еще 2 вопроса:

1. Как установить интерфейс по дефалту? Допустим eth1 ?
2. Если на одной сетевухе поднято 2 интерфейса (eth0и eth0:0) то надо прописывать iptables для каждого интерфейса или достаточно прописать только для eth0 ?

2 rolano

В дальнейшем они планируют переход на реальные интернетовские ip

[Shura]

насчет удаления

iptables -D n

удалит правило под номером n (правила нумеруются с единицы а не с нуля)

1. Не понял что значит интерфейс по дефолту?
2. Тут зависит от многих факторов. Если диапазоны адресов одинаковые на разных интерфейсах, то лучше четко прописать интерфейс.

P.S.
Про iptables все же лучше почитать. Никогда лишним не будет. Например вот это: http://www.opennet.ru/docs/RUS/iptables/ (Только не надо сразу пугаться объема)

[4tva4ek]

Под сочетанием слов “интерфейс по девалуту” я имею в виду главный интерфейс, которому отдается больший приоритет. Все равно же он должен быть (eth1 или eth0)

2. Тут зависит от многих факторов. Если диапазоны адресов одинаковые на разных интерфейсах, то лучше четко прописать интерфейс.

То есть лучше прописать iptables и для eth0 и для eth0:0 даже если настройки iptables одинаковы для обеих интерфейсов.

[Shura]

Больший приоритет в чем?

Я вижу небольшое непонимание в логике работы iptables. Дело в том, что iptables - это общие правила для ВСЕХ интерфейсов, а не отдельные для каждого. Подумай над этим.

[grub]

Т.е. че, у нас две сети с одинаковыми IP?! Интересно! А какже насчет уникальности IP?
Можно настроить мост второго уровня, пакеты будут пролетать туда-обратно авось найдутся?

[Shura]

grub

Читай внимательней - перебрасывать пакеты из одной подсети в другую НЕ НАДО.