IPtables blokace komunikace mezi eth0 a eth4

[SHIUNG]

Ahoj,
mám linuxovou gateway postavenou na Debian 10 s iptables.
Brána má 5 rozhraní. Mám síť LAN eht0 s IP: 192.168.1.10 s VOIP eth4 s IP: 192.168.12.1.

Úplně na začátku firewallu mám pravidlo:

Kód: [Vybrat]

iptables -I FORWARD -i eth0 -o eth4 -j DROP
iptables -I FORWARD -o eth4 -i eth0 -j DROP
Pak mám počítač v síti eth0 s IP: 192.168.1.12 a telefon v síti eth4 s IP: 192.168.12.102
Ping s počítače neprojde na telefon to je v pořádku.
Ping s počítače na rozraní eth4 s IP 192.168.12.1 projde. Proč?

Vůbec to nechodí přes firewall.

[Reklama]

[kmarty]

Protoze neni zadny pravidlo ktery by to blokovalo?
Oba uvedeny radky maji stejny vyznam (vstupni iface je eth0, vystupni je eth4).

[smoofy]

Protoze to co tece na interface na gatewayi neni FORWARD ale INPUT presto ze je to jiny interface nez na kterem to pritejka.

[kmarty]

Ok, pisu si za domaci ukol: Lepe cist dotaz a vsimat si ze se komunikuje i primo z GW :-)

[SHIUNG]

Protoze neni zadny pravidlo ktery by to blokovalo?
Oba uvedeny radky maji stejny vyznam (vstupni iface je eth0, vystupni je eth4).

Omlouvám se, upravil jsem, ale výsledek je stejný

Kód: [Vybrat]

iptables -I FORWARD -i eth0 -o eth4 -j DROP
iptables -I FORWARD -i eth4 -o eth0 -j DROP

[Reklama]

[SHIUNG]

Protoze to co tece na interface na gatewayi neni FORWARD ale INPUT presto ze je to jiny interface nez na kterem to pritejka.

Zkusil jsem:

Kód: [Vybrat]

iptables -t filter -A INPUT -i eth4 -j DROP
Výsledek je stejný.

[kmarty]

Ale ping na GW prijde z eth0 (pres INPUT).

[SHIUNG]

Ano, ping z 192.168.1.12 na 192.168.12.1
tcpdump -i eth0 host 192.168.1.12
14:29:05.662313 IP 192.168.1.12 > 192.168.12.1: ICMP echo request, id 1, seq 20, length 40
14:29:05.662431 IP 192.168.12.1 > IP 192.168.1.12: ICMP echo reply, id 1, seq 20, length 40

Ještě bych doplnil, že ten PC má default GW 192.168.1.10 tj eth0

[McFly]

Kód: [Vybrat]

iptables -t filter -A INPUT -s 192.168.1.0/24 -d 192.168.12.1 -j DROP


[smoofy]

Takhle z hlavy:
"iptables -I INPUT -i eth0 -d 192.168.12.1 -j DROP"

"iptables -t filter -A INPUT -i eth4 -j DROP"
Tohle blokuje prichozi traffic z eth4, ping pritece z eth0 jak pise kmarty

[SHIUNG]

Kód: [Vybrat]

iptables -t filter -A INPUT -s 192.168.1.0/24 -d 192.168.12.1 -j DROP


Tohle funguje, nerozumím proč to nefunguje s těma rozhraními eth0 a eth4 ?

[SHIUNG]

Už asi rozumím, ono to přichází i odchází eth0 a ne že to přijde eth0 a odejde eth4

[robac]

Už asi rozumím, ono to přichází i odchází eth0 a ne že to přijde eth0 a odejde eth4

Nerozumíte.
Nikam to neodchází.

[František Ryšánek]

Už asi rozumím, ono to přichází i odchází eth0 a ne že to přijde eth0 a odejde eth4

Ping request přijde skrz eth0 a nevstoupí do chainu FORWARD, protože cílem je lokální IP adresa. Tzn. ten dotaz má snahu projít z eth0 chainem INPUT do lokálního IP stacku. Rozhraní eth4 se ten ping request v rovině IPtables nijak netýká, přestože ho adresujete lokální IP adrese, která je na toto rozhraní přiřazena...

Znáte KPTD ? Ještě si zkušte odmyslet bloky, označené "ipchains" = předchozí generace netfilteru, která skončila s kernelem 2.2, tj. málem v předchozím tisíciletí. Se divím, že ten užitečný diagram někdo neaktualizoval, aby mluvil jenom o IPtables a EBtables. Případně o nftables nebo BPF... pořád kroutím hlavou, kdo asi vyhraje...

Tohle mě na Linuxu vždycky bavilo. Na první pohled je jedno ustálené rozhraní/implementace. Při bližším pohledu najdete dvě další implementace téhož, povětšinou si můžete zvolit jednu či druhou, konkurence spokojeně vzkvétá a výsledek ani termín poslední bitvy obvykle dlouho není předem jasný. Viz též různé implementace iSCSI, ovladačů zvukových karet, trasovacích frameworků, hluboce bezpečnostních frameworků, RAIDových vrstev, init démonů, shellů... Nebo třeba utilita ifconfig. Kolik desítek let už je označována za deprecated? :-)

[SHIUNG]

Už asi rozumím, ono to přichází i odchází eth0 a ne že to přijde eth0 a odejde eth4

Nerozumíte.
Nikam to neodchází.

Tak echo reply musí někudy odcházet?