Tengo un sistema CentOS 7 con 2 NIC (eth0 y eth1).
Configuraciones de tarjetas de red:
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.43.96.210 netmask 255.255.255.192 broadcast 10.43.96.255
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 146.81.34.150 netmask 255.255.255.128 broadcast 146.81.34.255
Mi tabla de enrutamiento actual:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.43.96.193 0.0.0.0 UG 100 0 0 eth0
10.43.96.192 0.0.0.0 255.255.255.192 U 100 0 0 eth0
146.81.34.0 0.0.0.0 255.255.255.128 U 0 0 0 eth1
146.81.34.128 146.81.34.254 255.255.255.128 UG 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1
La NIC eth0 está conectada a la red 10.43.96.x y la puerta de enlace predeterminada (10.43.96.193) se utiliza para conexiones salientes a Internet pública desde computadoras dentro de la red 10.43.96.x.
La NIC eth1 está conectada a la red 146.81.34.128/25 (NIC IP 146.81.34.150, máscara de red 255.255.255.128, gw 146.81.34.254, estos los define el cliente) y necesita acceder a un servidor en IP 146.81.34.11.
Otros servidores de la red 146.81.0.0/16 necesitan llegar a mi servidor (146.81.34.150) con ping (a través de la puerta de enlace 146.81.34.254). Por ejemplo, el servidor en 146.81.23.95 necesita hacer ping a mi servidor. No sé más sobre la red y los detalles de configuración de enrutamiento en esa red, me dijeron que usara su puerta de enlace 146.81.34.254.
Problema actual:
El cliente dice que otros servidores de la red 146.81.0.0/16 (146.81.xx) pueden llegar a la red 146.81.34.128/25 correctamente (y por lo tanto pueden llegar a mi servidor en 146.81.34.150 con ping). Esto esta bien.
Sin embargo, los otros servidores en la red 146.81.0.0/16 ahora intentan llegar a otras direcciones IP (en otras redes distintas a 146.81.34.128/25) a través de mi servidor usando mi puerta de enlace predeterminada (10.43.96.193), lo cual debería evitarse.
Pregunta:
¿Cómo debo evitar conexiones reenviadas a través de este servidor desde servidores en la red 146.81.0.0/16? No deberían utilizar la puerta de enlace predeterminada (10.43.96.193) en mi servidor.
Respuesta1
¿Cómo debo evitar conexiones reenviadas a través de este servidor desde servidores en la red 146.81.0.0/16?
La opción más sencilla seríacompletamentedeshabilite el reenvío de IP, a través de sysctl:
net.ipv4.conf.all.forwarding=0net.ipv6.conf.all.forwarding=0
SialgunoAlgunos tipos de tráfico deben reenviarse a través del servidor, pero otros no, use el firewall; simplemente agregue reglas que acepten el tráfico deseado y rechace (o elimine) el resto.
- iptables tiene la
FORWARDcadena precisamente para este propósito. - nft también tiene el
forwardgancho.