Networking

子網的安全性如何?

  • September 20, 2012

我的網路有一個不幸的並發症——一些使用者/電腦連接到我們管理的完全私有和防火牆的辦公網路(10.nnx/24 Intranet),但其他使用者/電腦連接到第三方提供的子網(129. nnx/25),因為他們需要通過第三方代理訪問網際網路。

我之前設置了一個網關/路由器以允許 10.nnx/24 網路網際網路訪問:

# Allow established connections, and those !not! coming from the public interface
# eth0 = public interface
# eth1 = private interface
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow outgoing connections from the private interface
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Masquerade (NAT)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Don't forward any other traffic from the public to the private
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

但是,我現在需要允許 129.nnx/25 子網中的使用者訪問 10.nnx/24 網路上的一些私有伺服器。

我想我可以做類似的事情:

# Allow established connections, and those !not! coming from the public interface
# eth0 = public interface
# eth1 = private interface #1 (10.n.n.x/24)
# eth2 = private interface #2 (129.n.n.x/25)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow outgoing connections from the private interfaces
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

# Allow the two public connections to talk to each other
iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT

# Masquerade (NAT)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Don't forward any other traffic from the public to the private
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -A FORWARD -i eth0 -o eth2 -j REJECT

我擔心的是,我知道我們 129.nnx/25 子網中的電腦可以通過提供商運營的更大網路通過 VPN 訪問 - 因此,提供商超網上的某人是否有可能(正確的術語?相反子網?)能夠訪問我們的私有 10.nnx/24 內網?

這取決於您的路由器路由表。如果您有從 129.nnx/25 的超網到您的網路 10.nnx/24 的地址的路由,則它們將可以訪問,否則它們將無法訪問。eth1儘管如此,為它們制定更具體的轉發規則可能是明智的eth2(即向它們添加源和目標範圍)。

引用自:https://serverfault.com/questions/430166