Mijn situatie is het volgende:
De router en bedrijfsnetwerk 1 zitten op dezelfde hub.
Het thuisnetwerk moet gescheiden zijn van bedrijfsnetwerk 1 & 2
De server heeft dus 3 netwerkkaarten
eth0 = internet (gateway = 192.168.9.1)
eth1 = thuisnetwerk
eth2 = bedrijfsnetwerk
Het bedrijfsnetwerk 1 en het thuisnetwerk kunnen via de server internet op
Het bedrijfsnetwerk moet via de router naar de volgende ipadressen kunnen van bedrijfsnetwerk 2:
192.168.0.6
192.168.0.25
192.168.0.26
(deze ipadressen worden niet gebruikt op het thuisnetwerk)
Het probleem is dat de router automatisch inbelt naar bedrijfsnetwerk 2 ook al wordt er geen verbinding gemaakt naar de bovenstaande 3 ipadressen
Dus hoe kan ik er nu voor zorgen dat de router alleen inbelt wanneer
het bedrijfsnetwerk naar de volgende ipadressen verbinding wil maken:
192.168.0.6
192.168.0.25
192.168.0.26
Het thuisnetwerk mag dus geen toegang hebben tot de 2 bedrijfsnetwerken.
Het werkt nu dus allemaal, maar ik wil er zeker van zijn dat de router niet zomaar gaat inbellen op bedrijfsnetwerk 2, wat nu wel het geval is.
Ik weet niet of hiervoor nog een regel opgenomen kan worden in iptables zodat onder bepaalde voorwaarde de router pas gaat inbellen.
Router staat op Dial on demand.
code:
1
2
3
4
5
6
7
| Thuisnetwerk (192.168.0.x) -------- Server ----------- Bedrijfsnetwerk 1 (10.0.0.x)
| |
| |
Internet Router (10.0.0.241)
|
|
Bedrijfsnetwerk 2 (192.168.0.x) |
De router en bedrijfsnetwerk 1 zitten op dezelfde hub.
Het thuisnetwerk moet gescheiden zijn van bedrijfsnetwerk 1 & 2
De server heeft dus 3 netwerkkaarten
eth0 = internet (gateway = 192.168.9.1)
eth1 = thuisnetwerk
eth2 = bedrijfsnetwerk
Het bedrijfsnetwerk 1 en het thuisnetwerk kunnen via de server internet op
Het bedrijfsnetwerk moet via de router naar de volgende ipadressen kunnen van bedrijfsnetwerk 2:
192.168.0.6
192.168.0.25
192.168.0.26
(deze ipadressen worden niet gebruikt op het thuisnetwerk)
Het probleem is dat de router automatisch inbelt naar bedrijfsnetwerk 2 ook al wordt er geen verbinding gemaakt naar de bovenstaande 3 ipadressen
code:
1
2
3
4
5
6
7
8
9
10
| Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.25 10.0.0.241 255.255.255.255 UGH 0 0 0 eth2 192.168.0.26 10.0.0.241 255.255.255.255 UGH 0 0 0 eth2 192.168.0.6 10.0.0.241 255.255.255.255 UGH 0 0 0 eth2 10.0.0.0 * 255.255.255.0 U 0 0 0 eth2 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 192.168.9.0 * 255.255.255.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 192.168.9.1 0.0.0.0 UG 0 0 0 eth0 |
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
| #!/bin/sh # # niets erin, alleen eruit iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # alle regels flushen iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -F -t nat iptables -F -t mangle # forward all packets from eth1 (netwerk) to eth0 (internet) iptables -A FORWARD -i eth1 -m mac --mac-source 00:30:4F:06:7D:CA -o eth0 -j ACCEPT iptables -A FORWARD -i eth1 -m mac --mac-source 00:02:DD:00:34:95 -o eth0 -j ACCEPT iptables -A FORWARD -i eth1 -m mac --mac-source 00:10:D7:0A:48:7F -o eth0 -j ACCEPT iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT iptables -A FORWARD -i eth2 -o eth2 -j ACCEPT # forward packets that are part of existing and related connections from eth0 to eth1 iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth2 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT # Permit packets in to firewall itself that are part of existing and related connections. iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow all inputs to firewall from the internal network and local interfaces iptables -A INPUT -i eth1 -s 192.168.0.62/32 -m mac --mac-source 00:30:4F:06:7D:CA -d 0/0 -j ACCEPT iptables -A INPUT -i eth1 -s 0/0 -p icmp -d 192.168.0.1 -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p udp -d 192.168.0.1 --dport 137:139 -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp -d 192.168.0.1 --dport 137:139 -j ACCEPT iptables -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT # Enable SNAT functionality on eth0 iptables -A POSTROUTING -t nat -s 192.168.0.62/32 -o eth0 -j SNAT --to 192.168.9.164 iptables -A POSTROUTING -t nat -s 192.168.0.53/32 -o eth0 -j SNAT --to 192.168.9.164 iptables -A POSTROUTING -t nat -s 192.168.0.3/32 -o eth0 -j SNAT --to 192.168.9.164 iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -o eth0 -j SNAT --to 192.168.9.164 echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/tcp_syncookies modprobe ip_conntrack_ftp modprobe ip_nat_ftp |
Dus hoe kan ik er nu voor zorgen dat de router alleen inbelt wanneer
het bedrijfsnetwerk naar de volgende ipadressen verbinding wil maken:
192.168.0.6
192.168.0.25
192.168.0.26
Het thuisnetwerk mag dus geen toegang hebben tot de 2 bedrijfsnetwerken.
Het werkt nu dus allemaal, maar ik wil er zeker van zijn dat de router niet zomaar gaat inbellen op bedrijfsnetwerk 2, wat nu wel het geval is.
Ik weet niet of hiervoor nog een regel opgenomen kan worden in iptables zodat onder bepaalde voorwaarde de router pas gaat inbellen.
Router staat op Dial on demand.
:strip_icc():strip_exif()/u/9589/telepathy_3abigbrownchunx_2dskype_2ddbus_3ajdhoek.jpeg?f=community)