Firewall vraag

iptables -I INPUT -s 192.168.1.10 -dport 80 -j DROP (dacht ik) op de .11

[ Voor 27% gewijzigd door CrankyGamerOG op 02-08-2012 14:19 ]

Intern verkeer gaat niet over je router (zelfs niet als beide netwerkkabels in dat apparaat steken).

Je zult dat dus met een firewall op één van beide computers moeten regelen.

Edit1: Def!ance: Daarmee kan 192.168.1.10 helemaal niks meer op die PC, ik zou er (uit mijn hoofd) --proto tcp --dport 80 bijzetten

Edit2: Ah, jij zit ook te editen

[ Voor 34% gewijzigd door Paul op 02-08-2012 14:22 ]

Paul schreef op donderdag 02 augustus 2012 @ 14:18:
Intern verkeer gaat niet over je router (zelfs niet als beide netwerkkabels in dat apparaat steken).

Je zult dat dus met een firewall op één van beide computers moeten regelen.

Edit1: Def!ance: Daarmee kan 192.168.1.10 helemaal niks meer op die PC, ik zou er (uit mijn hoofd) een --proto TCP --dport 80 bijzetten

Edit2: Ah, jij zit ook te editen

Ik ben ziek dus ik mag fouten maken

En áls je al iets in de router zou willen met `iptables`, wat verder geen relatie heeft met de router zelf, dan moet je niet INPUT of OUTPUT gebruiken, maar FORWARD

Met VLANs (en dan ieder poortje van de switch in een ander VLAN) kan het inderdaad, je krijgt echter wel meer interfaces en meet subnetten. Het gaan dan dus niet meer om verkeer van 192.168.1.10 naar 192.168.1.11 maar om 10.1.2.3 naar 172.16.31.12 (of zo, net wat je aan RFC1918-adressen uitdeelt)

je kan een host route maken op de 192.168.1.10 voor de 192.168.1.11 via de firewall. Wel op de firewall ICMP redirects uitzetten. Dan zou het moeten werken met de iptables op de firewall.


Je kan ook een switch kopen die access-lists op de switchpoort ondersteunt maar dat is best duur

Misschien met een hele dure switch die ACL's heeft, maar anders moet je dat echt op een router doen (en dat gaat dus niet op voor verkeer dat binnen je broadcast domain blijft) of op een filtering bridge (heb je ook niet) of op de computers zelf.

Wat is het probleem met het installeren van een firewall op je webserver? Als het goed is heeft deze er al één overigens

Edit: Of een route inderdaad, maar ook dan pas je dus iets aan op je webserver en het lijkt erop dat je dat niet wilt of kunt?

[ Voor 14% gewijzigd door Paul op 02-08-2012 14:53 ]

TrailBlazer schreef op donderdag 02 augustus 2012 @ 14:52:
je kan een host route maken op de 192.168.1.10 voor de 192.168.1.11 via de firewall. Wel op de firewall ICMP redirects uitzetten. Dan zou het moeten werken met de iptables op de firewall.


Je kan ook een switch kopen die access-lists op de switchpoort ondersteunt maar dat is best duur

Dat lijkt me niet echt een geweldige oplossing. Als er op wat voor manier dan ook de routering wordt aangepast wordt er niets meer gefilterd. Ik denk dat je 3 keuzes hebt (die alledrie al genoemd zijn overigens).

Hosts in aparte netwerken en al het verkeer door de firewall laten verlopen
Switch aanschaffen die kan filteren op poort/vlan niveau
Host firewall gebruiken (lijkt me de meest logische keuze)

Tuurlijk weet ik dat het een baggermethode is maarhet werkt wel