Назад | Перейти на главную страницу

блокировка подсетей в iptables

В настоящее время у меня есть маршрутизатор, подключенный к основной сети (192.168.0.x). На этом маршрутизаторе я хочу, чтобы Ethernet-порты были связаны с основной сетью, а vlan (беспроводной) был настроен через отдельный DHCP-сервер в его собственной подсети (192.168.1.x). Сейчас это отлично работает.

Проблема, с которой я столкнулся, заключается в том, что я хочу заблокировать доступ из vlan к другим клиентам в той же подсети (поэтому заблокируйте трафик 192.168.0.x на 192.168.0.x), а также заблокируйте весь трафик в основной сетевой подсети ( хотя и разрешает запросы DNS).

Я подумал, что мне понадобятся некоторые правила iptables:

# allow DNS
iptables -I INPUT -i br0 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br0 -p tcp --dport 53 -j ACCEPT
iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 53 -j ACCEPT

# deny access to the 192.168.x.x hosts from internal vlan-users
iptables -A OUTPUT -s 192.168.1.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j DROP
iptables -A FORWARD -d 192.168.0.0/255.255.255.0 -m state --state NEW -j DROP
iptables -I INPUT -d 192.168.0.0/255.255.255.0 -m state --state NEW -j DROP

Однако при тестировании я все еще мог подключиться к клиентам на 192.168.0.x и 192.168.1.x

Что мне не хватает? Возможно, я пробую это на неправильных цепях (или, возможно, на столе)?