Portál AbcLinuxu, 16. července 2025 03:10


Dotaz: oddeleni dvou siti

23.9.2005 08:09 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
oddeleni dvou siti
Přečteno: 83×
Odpovědět | Admin
Zdarec , potrebovall bych poradit jak udelat pravidlo , aby se na routru kde je
eth0
wlan0
wlan1
wlan2
wlan3
napr. wlan0 a wlan3 absolutne nevideli.. ani ping proste nic . Zkousel jsem :
iptables -A FORWARD -i wlan0 -o wlan3 -j DROP 
nefunguje ... nevite jak na to ?? dekuji .. .
jen se učím jak se to naučit .... ...
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

23.9.2005 08:35 houska
Rozbalit Rozbalit vše Re: oddeleni dvou siti
Odpovědět | | Sbalit | Link | Blokovat | Admin
tohle jsem taky jednou zkousel a takhle mi to taky neslo, zkus
iptables -A FORWARD -s ip.addr.wlan.0 -d ip.addr.wlan.3 -j DROP
23.9.2005 08:42 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti
bez uspechu .... :-(
jen se učím jak se to naučit .... ...
23.9.2005 08:53 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: oddeleni dvou siti
to je divné, já s úspěchem používám:
-A FORWARD -s 10.0.0.0/16    -d 10.0.0.0/16 -j REJECT --reject-with icmp-net-unreachable

pro sítě:
eth1 : 10.0.0.0
eth2 : 10.0.1.0
eth3 : 10.0.2.0
eth4 : 10.0.3.0
Každý problém ma své logické, snadno pochopitelné nesprávné řešení.
23.9.2005 09:05 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti
muzu se po.... a ono to proste jede :
eth0 192.168.101.0 (gw)
wlan0 192.168.100.0
wlan1 192.168.3.0
wlan2 192.168.9.0
wlan3 192.168.103.0

iptables -A FORWARD -d 192.168.100.0/24 -s 192.168.7.0/24 -j REJECT --reject-with icmp-net-unreachable
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.7.0/24 -j REJECT --reject-with icmp-net-unreachable

proste to nejde hrrr !!!
jede pingam ... dostanu se sshackem daaal proste zije se svym zivotem
jen se učím jak se to naučit .... ...
23.9.2005 09:14 houska
Rozbalit Rozbalit vše Re: oddeleni dvou siti
to je divny, a kdyz si vypises
iptables -L -v
tak to tam vidis? nekde na zacatku-aby se nestalo aby to doslo k nejakymu pravidlu ktery s tim neudela neco jinyho a k tomu zakazani to vube nedojde ...
23.9.2005 09:23 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti
je ale uplne na konci ,ten vypis je tak na 3 A4 ....
jen se učím jak se to naučit .... ...
23.9.2005 09:21 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: oddeleni dvou siti
Nemas pred, nebo za FORWARDem nejake pravidlo, ktere to zase povoli?
Taky si udělám nějakou studii.
23.9.2005 09:31 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti
samozrejmne ze mam ... CHapej v siti je okolo 150 lidi , takze forward je kompletne zakazan a kdyz pribude ucastnik tak ho proste povolim se vsim .
iptables -A FORWARD -s ipecko.kli.nt.a -j ACCEPT
iptables -A FORWARD -d ipecko.kli.nt.a -j ACCEPT
no a kdyz mam na routru 5 sitovek a jedna vede k hlavnimu routru / fw tak vlasnte vsichni vidi vsude a tto chci zakazat .
jen se učím jak se to naučit .... ...
Marián Oravec avatar 23.9.2005 09:57 Marián Oravec | skóre: 22 | Nitra
Rozbalit Rozbalit vše Re: oddeleni dvou siti
ano ale toto:
iptables -A FORWARD -s ipecko.kli.nt.a -j ACCEPT
iptables -A FORWARD -d ipecko.kli.nt.a -j ACCEPT
povoli pre tu IP vsetko (aj to aby videlo wlan0 resp. wlan3).

dalsia vec. pisete ze:
eth0 192.168.101.0 (gw)
wlan0 192.168.100.0
wlan1 192.168.3.0
wlan2 192.168.9.0
wlan3 192.168.103.0
a potom pisete:
iptables -A FORWARD -d 192.168.100.0/24 -s 192.168.7.0/24 -j REJECT --reject-with icmp-net-unreachable
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.7.0/24 -j REJECT --reject-with icmp-net-unreachable
ked sa nema vidiet wlan0 a wlan3 tak preco 192.168.7.0/24 ked wlan3 je 192.168.103.0/24?
Mám rád elektro, ale vypočujem si aj iné...
23.9.2005 10:01 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti
protoze wlan3 je jen trasa k dalsimu routeru kde se nechazi sit 192.168.7.0/24 a 192.168.8.0/24. routru mam asi 7 ... :-(
jen se učím jak se to naučit .... ...
23.9.2005 09:59 podlesh | skóre: 38 | Freiburg im Breisgau
Rozbalit Rozbalit vše Re: oddeleni dvou siti
Tak v tom případě to zakázání patří na začátek, ne na konec.
23.9.2005 10:02 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti
ani to nepomohlo sakrys ,nekde delam chybu pravdepodobne ale kde ... ??
jen se učím jak se to naučit .... ...
23.9.2005 10:07 pingo
Rozbalit Rozbalit vše Re: oddeleni dvou siti
Ahoj, mozna by pomohlo kdyz by jsi zverejnil cely skriptik s pravidly
23.9.2005 10:12 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti
uff okej :
#!/bin/bash
# vycisteni vsech pravidel
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
#nastaveni implicitnich pravidel
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#nastaveni kolek vysilac
 x=1;
   while [ "$x" -le 34 ]; do
       iptables -I FORWARD -d 192.168.1.$x -j ACCEPT
       iptables -I FORWARD -s 192.168.1.$x -j ACCEPT
           x=$(expr $x + 1)
               done
# vyjimky :
iptables -I FORWARD -d 192.168.1.103 -j ACCEPT # fotr griffin
iptables -I FORWARD -s 192.168.1.103 -j ACCEPT # fotr griffin
iptables -I FORWARD -d 192.168.1.123 -j ACCEPT
iptables -I FORWARD -s 192.168.1.123 -j ACCEPT
# nastaveni radovek
 x=1;
   while [ "$x" -le  18  ]; do
       iptables -I FORWARD -d 192.168.2.$x -j ACCEPT
       iptables -I FORWARD -s 192.168.2.$x -j ACCEPT
           x=$(expr $x + 1)
               done
# vyjimky :

# nastaveni Karvina - 6
 x=1;
  while [ "$x" -le  28  ]; do
           iptables -I FORWARD -d 192.168.3.$x -j ACCEPT
           iptables -I FORWARD -s 192.168.3.$x -j ACCEPT
                x=$(expr $x + 1)
                        done


jre toho vice ale vzdy stejne na kazdej subnet noo ... jina omezeni pro FORWARD tam nejsou .
jen se učím jak se to naučit .... ...
23.9.2005 11:04 pingo
Rozbalit Rozbalit vše Re: oddeleni dvou siti
To pravidlo na zakazani bych dal jako prvni v CHAINu FORWARD. Kdyz jsi to zkousel dat na zacatek bylo to pravidlo opravdu prvni ?? zkontrolovals to v iptables -L ??
23.9.2005 12:09 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: oddeleni dvou siti
Mozna by postacilo nahradit
iptables -I FORWARD
za
iptables -A FORWARD
Mam takovou tuchu, ze I to pastuje opacnym smerem nez A, takze jste si to mozna povolil nekde na konci scriptu... Pravdepodobnost, ze to bude tim je ale miziva. Nicmene za pokus to stoji.
-- Zadny uceny z nebe nespad --
23.9.2005 11:00 petr_p
Rozbalit Rozbalit vše Re: oddeleni dvou siti
Odpovědět | | Sbalit | Link | Blokovat | Admin
Mate to trochu zmatene a informace z vas lezou po kouskach (dat sem "nefuguje -A pravidlo" a pak teprve prozradit, ze mate predtim nejake vyjimky, je trochu nevhodne).

Proste si pridejte na zacatek FORWARD chainu LOGovaci pravidlo na inkrimovane pakety, pak sem pastnete iptables -nvL FORWARD --line-numbers a vypis logu jadra s proslym paketem. Urcite to je jen nekde nejaky preklep.

Dale vam doporuciji misto DROPu davat REJECT. Je to tak lepsi pro uzivatele i pro spravce.

Dale nezapominate, ze pravidla se uplatnuji v poradi, v jakem jsou zapsana a prvni DROP nebo ACCEPT terminuje (tzn. je finalni a dalsi nasledujici pravidla se uz neberou v uvahu)?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.