Networking
子網的安全性如何?
我的網路有一個不幸的並發症——一些使用者/電腦連接到我們管理的完全私有和防火牆的辦公網路(10.nnx/24 Intranet),但其他使用者/電腦連接到第三方提供的子網(129. nnx/25),因為他們需要通過第三方代理訪問網際網路。
我之前設置了一個網關/路由器以允許 10.nnx/24 網路網際網路訪問:
# Allow established connections, and those !not! coming from the public interface # eth0 = public interface # eth1 = private interface iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW ! -i eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow outgoing connections from the private interface iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT # Masquerade (NAT) iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Don't forward any other traffic from the public to the private iptables -A FORWARD -i eth0 -o eth1 -j REJECT
但是,我現在需要允許 129.nnx/25 子網中的使用者訪問 10.nnx/24 網路上的一些私有伺服器。
我想我可以做類似的事情:
# Allow established connections, and those !not! coming from the public interface # eth0 = public interface # eth1 = private interface #1 (10.n.n.x/24) # eth2 = private interface #2 (129.n.n.x/25) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW ! -i eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow outgoing connections from the private interfaces iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT # Allow the two public connections to talk to each other iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT # Masquerade (NAT) iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Don't forward any other traffic from the public to the private iptables -A FORWARD -i eth0 -o eth1 -j REJECT iptables -A FORWARD -i eth0 -o eth2 -j REJECT
我擔心的是,我知道我們 129.nnx/25 子網中的電腦可以通過提供商運營的更大網路通過 VPN 訪問 - 因此,提供商超網上的某人是否有可能(正確的術語?相反子網?)能夠訪問我們的私有 10.nnx/24 內網?
這取決於您的路由器路由表。如果您有從 129.nnx/25 的超網到您的網路 10.nnx/24 的地址的路由,則它們將可以訪問,否則它們將無法訪問。
eth1
儘管如此,為它們制定更具體的轉發規則可能是明智的eth2
(即向它們添加源和目標範圍)。