Ich habe ein CentOS 7-System mit 2 Netzwerkkarten (eth0 und eth1).
NIC-Konfigurationen:
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.43.96.210 netmask 255.255.255.192 broadcast 10.43.96.255
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 146.81.34.150 netmask 255.255.255.128 broadcast 146.81.34.255
Meine aktuelle Routingtabelle:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.43.96.193 0.0.0.0 UG 100 0 0 eth0
10.43.96.192 0.0.0.0 255.255.255.192 U 100 0 0 eth0
146.81.34.0 0.0.0.0 255.255.255.128 U 0 0 0 eth1
146.81.34.128 146.81.34.254 255.255.255.128 UG 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1
NIC eth0 ist mit dem Netzwerk 10.43.96.x verbunden und das Standard-Gateway (10.43.96.193) wird für ausgehende Verbindungen zum öffentlichen Internet von Computern innerhalb des Netzwerks 10.43.96.x verwendet.
NIC eth1 ist mit dem Netzwerk 146.81.34.128/25 verbunden (NIC-IP 146.81.34.150, Netzmaske 255.255.255.128, GW 146.81.34.254, diese werden vom Kunden definiert) und muss auf einen Server mit der IP 146.81.34.11 zugreifen.
Andere Server aus dem Netzwerk 146.81.0.0/16 müssen meinen Server (146.81.34.150) per Ping erreichen (über Gateway 146.81.34.254). Beispielsweise muss der Server unter 146.81.23.95 meinen Server anpingen. Ich weiß nicht mehr über die Netzwerk- und Routing-Konfigurationsdetails in diesem Netzwerk, mir wurde gesagt, ich solle ihr Gateway 146.81.34.254 verwenden.
Aktuelles Problem:
Der Kunde sagt, dass andere Server aus dem Netzwerk 146.81.0.0/16 (146.81.xx) das Netzwerk 146.81.34.128/25 korrekt erreichen können (und somit meinen Server unter 146.81.34.150 mit Ping erreichen können). Das ist in Ordnung.
Allerdings versuchen die anderen Server im Netzwerk 146.81.0.0/16 nun, über meinen Server andere IP-Adressen (in anderen Netzwerken als 146.81.34.128/25) zu erreichen, indem sie mein Standard-Gateway (10.43.96.193) verwenden, was verhindert werden sollte.
Frage:
Wie verhindere ich, dass Verbindungen über diesen Server von Servern im Netzwerk 146.81.0.0/16 weitergeleitet werden? Sie sollten nicht das Standard-Gateway (10.43.96.193) auf meinem Server verwenden.
Antwort1
Wie kann ich weitergeleitete Verbindungen über diesen Server von Servern im Netzwerk 146.81.0.0/16 verhindern?
Die einfachste Möglichkeit wäre,vollständigIP-Weiterleitung deaktivieren, über sysctl:
net.ipv4.conf.all.forwarding=0net.ipv6.conf.all.forwarding=0
WennmancheEinige Arten von Datenverkehr müssen über den Server weitergeleitet werden, andere jedoch nicht. Verwenden Sie die Firewall. Fügen Sie einfach Regeln hinzu, die den gewünschten Datenverkehr akzeptieren und den Rest ablehnen (oder löschen).
- iptables verfügt
FORWARDgenau zu diesem Zweck über die Kette. - nft hat ebenfalls den
forwardHaken.