CentOS - Impedir conexões encaminhadas da NIC nº 2 por meio do gateway padrão na NIC nº 1

tag-icon tag-icon linux networking centos routing network-adapter
CentOS - Impedir conexões encaminhadas da NIC nº 2 por meio do gateway padrão na NIC nº 1

Eu tenho um sistema CentOS 7 com 2 NICs (eth0 e eth1).

Configurações de placa de rede:

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
      inet 10.43.96.210  netmask 255.255.255.192  broadcast 10.43.96.255

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
      inet 146.81.34.150  netmask 255.255.255.128  broadcast 146.81.34.255

Minha tabela de roteamento atual:

Kernel IP routing table
Destination    Gateway        Genmask         Flags Metric Ref    Use Iface
0.0.0.0        10.43.96.193   0.0.0.0         UG    100    0        0 eth0
10.43.96.192   0.0.0.0        255.255.255.192 U     100    0        0 eth0
146.81.34.0    0.0.0.0        255.255.255.128 U     0      0        0 eth1
146.81.34.128  146.81.34.254  255.255.255.128 UG    0      0        0 eth1
169.254.0.0    0.0.0.0        255.255.0.0     U     1003   0        0 eth1

A NIC eth0 está conectada à rede 10.43.96.xe o gateway padrão (10.43.96.193) é usado para conexões de saída para a Internet pública de computadores dentro da rede 10.43.96.x.

A NIC eth1 está conectada à rede 146.81.34.128/25 (NIC IP 146.81.34.150, máscara de rede 255.255.255.128, gw 146.81.34.254, definidas pelo cliente) e precisa acessar um servidor no IP 146.81.34.11.

Outros servidores da rede 146.81.0.0/16 precisam acessar meu servidor (146.81.34.150) com ping (através do gateway 146.81.34.254). Por exemplo, o servidor em 146.81.23.95 precisa fazer ping no meu servidor. Não sei mais sobre os detalhes de configuração de rede e roteamento dessa rede, disseram-me para usar o gateway 146.81.34.254.

Problema atual:

O cliente diz que outros servidores da rede 146.81.0.0/16 (146.81.xx) podem alcançar a rede 146.81.34.128/25 corretamente (e assim podem alcançar meu servidor em 146.81.34.150 com ping). Isto é bom.

No entanto, os outros servidores na rede 146.81.0.0/16 agora tentam alcançar outros endereços IP (em outras redes que não 146.81.34.128/25) através do meu servidor usando meu gateway padrão (10.43.96.193), o que deve ser evitado.

Pergunta:

Como devo evitar conexões encaminhadas através deste servidor de servidores na rede 146.81.0.0/16? Eles não deveriam usar o gateway padrão (10.43.96.193) no meu servidor.

Responder1

Como devo evitar conexões encaminhadas através deste servidor de servidores na rede 146.81.0.0/16?

A opção mais simples seriacompletamentedesabilitar o encaminhamento de IP, via sysctl:

  • net.ipv4.conf.all.forwarding=0
  • net.ipv6.conf.all.forwarding=0

Sealgunstipos de tráfego devem ser encaminhados através do servidor, mas outros não, use o firewall – basta adicionar regras aceitando o tráfego desejado e rejeitando (ou descartando) o restante.

  • O iptables possui a FORWARDcadeia justamente para esse propósito.
  • nft também tem o forwardgancho.

informação relacionada