於 西元2012年06月06日 22:03, 卯 提到:
> 小弟目前有試過用iptables做防火牆,可是並沒有效用
> 前文有先進提到說將帳號分內、外的方式,我們的Server並沒有做,所以就沒有試過
> 目前我的網卡分別取得的IP位置如下:
> eth0: 192.168.1.35
> eth1: 192.168.43.17
> iptables ruls如下:
> #丟掉目的為192.168.43的網段且從eht0出去的封包
> -A OUTPUT -o eth0 -d 192.168.43.0/24 -j DROP
> #丟掉目的為192.168.1的網段且從eht1出去的封包
> -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
> 當我從192.168.43的網段透過ssh連到該Server時,還是可以ping到192.168.1網段的主機
> 反之,從192.168.1網段也可ping到192.168.43網段的主機
這是當然的,你指定的規則是:
在 eth0(192.168.1.35) 輸出時,若目的地為 192.168.43.0 網段,丟棄封包
在 eth1(192.168.43.17) 輸出時,若目的地為 192.168.1.0 網段,丟棄封包
問題是,你登入該主機了:
從 192.168.43 網段登入,ping 192.168.1 網段 -
此時封包是從 主機發生 -> 直接前往 eth0 輸出、目的為 192.168.1 網段
從 192.168.1 網段登入,ping 192.168.43 網段 -
此時封包是從 主機發生 -> 直接前往 eth1 輸出、目的為 192.168.43 網段
它沒有過你前述任一條規則,自然不會丟棄任何封包。
有提供登入和單純只做封包 forward 不同。
你的需求,解法可能需:
1.兩台主機,一內一外
2.NIS or LDAP,帳號單一管理
3.Storage,負責共用目錄
幸運的是,現在 x86 主機效能極強價格低廉、VM 又很方便,一台實體主機就能把
這三樣統統實現。
--
⊙翱翔青空.傲視大地⊙
討論串 (同標題文章)
完整討論串 (本文為第 5 之 5 篇):
問題
2
4