:strip_icc():strip_exif()/u/113637/bla.jpg?f=community)
Hallo iedereen,
op mijn thuis-server wil ik een vserver-guest aanmaken dat alleen toegang heeft tot de router en niet tot enig ander systeem op het netwerk. Ik heb dit ingericht door een dummy0 eth device aan te maken op de host dat een /30 adres heeft vlak naast de router/gateway. Zie:
Echter, als ik een systeem ping dat buiten die range (/30) valt, krijg ik nog steeds antwoord. Forwarding en dergelijke staan niet aan op de vserverhost.
Netwerk gegevens:
vserverhost: 192.168.0.5
h: 192.168.0.2
router: 192.168.0.1
netmask op vserverhost: 255.255.255.0 (/24)
netmask op f: 255.255.255.252 (/30)
Hoe kan ik er voor zorgen dat 'h' geen toegang heeft tot het overige netwerk?
VLAN en dergelijke is helaas geen oplossing, NAT-via-vserverhost ook niet.
op mijn thuis-server wil ik een vserver-guest aanmaken dat alleen toegang heeft tot de router en niet tot enig ander systeem op het netwerk. Ik heb dit ingericht door een dummy0 eth device aan te maken op de host dat een /30 adres heeft vlak naast de router/gateway. Zie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| vserverhost# vserver h enter
h:/# ifconfig
dummy0 Link encap:Ethernet HWaddr 4e:cc:ae:0f:79:58
inet addr:192.168.0.2 Bcast:192.168.0.3 Mask:255.255.255.252
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:447 (447.0 B)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:121 errors:0 dropped:0 overruns:0 frame:0
TX packets:121 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:11112 (10.8 KiB) TX bytes:11112 (10.8 KiB) |
Echter, als ik een systeem ping dat buiten die range (/30) valt, krijg ik nog steeds antwoord. Forwarding en dergelijke staan niet aan op de vserverhost.
code:
1
2
3
4
5
6
7
8
9
10
11
12
| h:/# ping 192.168.0.5 PING 192.168.0.5 (192.168.0.5) 56(84) bytes of data. 64 bytes from 192.168.0.5: icmp_seq=1 ttl=64 time=0.038 ms 64 bytes from 192.168.0.5: icmp_seq=2 ttl=64 time=0.026 ms 64 bytes from 192.168.0.5: icmp_seq=3 ttl=64 time=0.027 ms ^C --- 192.168.0.5 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 1998ms rtt min/avg/max/mdev = 0.026/0.030/0.038/0.007 ms h:/# traceroute 192.168.0.5 -n traceroute to 192.168.0.5 (192.168.0.5), 30 hops max, 40 byte packets 1 192.168.0.5 0.027 ms 0.007 ms 0.006 ms |
Netwerk gegevens:
vserverhost: 192.168.0.5
h: 192.168.0.2
router: 192.168.0.1
netmask op vserverhost: 255.255.255.0 (/24)
netmask op f: 255.255.255.252 (/30)
Hoe kan ik er voor zorgen dat 'h' geen toegang heeft tot het overige netwerk?
VLAN en dergelijke is helaas geen oplossing, NAT-via-vserverhost ook niet.
/u/130188/crop6202f586c08b3.png?f=community)
:strip_exif()/u/18996/GoT_avatar.gif?f=community){kind=avatar}
