据我了解,不同子网上的主机不能互相通信,除非在两个子网上都有一个路由器在它们之间转发stream量。
我在networking上有两个子网,分别是:192.168.0.0/24和192.168.1.0/24。 我想在它们之间创build一个防火墙路由,使用一个连接到两个子网的Linux盒子。 防火墙将在iptables中实现。
连接到networking的所有主机将被信任,用户将不具有pipe理权限来改变其networkingconfiguration(即只连接到另一个子网上)。
假设我上面所说的一切都不完全是废话,那么连接到一个子网的用户可能绕过防火墙并访问另一个子网的方式是什么?
明显的发生在我身上的只是连接一个不受信任的主机。
澄清:我试图创build一个自定义的防火墙解决scheme(不是现成的)。 它将被集成到现有的解决scheme中,该解决scheme已经在Linux机器上运行,所以事物的一面是固定的。
防火墙将允许根据物理网卡或VLAN来定义防火墙。
在我看来,基于物理局域网的区域只允许有人在物理上连接到networking,而不应该是这样。 除了encryption之外,这一点归结为物理安全。 假设您没有错误configuration某个交换机以暴露携带dot1Qstream量的terminal,或者允许VLAN跳跃攻击,则基于VLAN的区域基本相同。
我的问题的根源在于是否可以将基于子网的区域(运行在相同的物理硬件上)添加到可防火壁垒的列表中。 这当然会依赖于所有连接的主机是“可信的”,并且所有的用户(防火墙至less应用到这个用户)没有pipe理权限来混乱networking设置。
作为networkingpipe理员,我将分两部分回答:
首先,如果你在同一个逻辑/物理局域网上的两个不同的子网上运行设备,那么你将在子网之间的局域网上具有基本上零的安全性。 当你想〜设备将无法访问任何东西,你不能确定你不会有一个stream氓设备。 正因为如此,我会直接假设情况并非如此。 接下来,build立一个带有IPTables的Linux Box作为路由器是相当容易的。 在linux的configuration中有相当详细的介绍,其中一些细节可能取决于你正在运行的是哪个发行版,但是基本的盒子是两个NIC,一个插入到每个networking中,接着是一些软件,发现,甚至包括在一些发行版),其次是你的IPtablesconfiguration。 将NIC1插入192.168.0.0/24,将NIC2插入192.168.1.0/24,并在两个子网之间为需要在两者之间传输的通信build立桥接。
第二部分:从一个有信誉的制造商那里购买(甚至是一个二手的)路由器要比你组装和configuration这个linux盒来完成同样的任务要简单得多。 大多数真正的路由器都能够执行ACL,这实际上是IPtables为大部分configuration所做的事情,有些路由器能够通过分组检查来执行基于区域的防火墙。 使用的思科1841不会给你带来太多的回报,并且和你正在询问的Linux路由器墙组合一样,是“合法的”。 有一点google-fu,你可以find足够的思科CLI命令来相当迅速地把你整理出来,并在不到二十分钟的时间内完成你所需要的工作。 我并不反对任何人为了它的乐趣而采取“艰辛的方式”,但除非这是你的目标,否则在我看来,你似乎很难用一个更复杂的答案来解决问题比问题本身。
我不能说Linux,但是我有一个更简单的问题,你想在这里完成什么? (我会漫无目的地猜测,看看我能不能接近,但你应该在你的问题上澄清。)
看来你正在试图连接两个子网,并允许stream量。 好吧,但是如果子网是物理上分开的,那么如果路由接口在子网上不存在,就不能使用其他子网。 即使在192.168.1.x子网上将IP地址更改为192.168.0.223,也不能将其路由到网关(Linux机箱),因为它只是在错误的子网上。
通常子网在物理或逻辑上是分开的。 要么因为他们在不同的硬件上,要么使用VLAN或者其他的逻辑隔离。 即使您从一个子网拥有一个IP,也不会有效,因为用于路由该子网的stream量的设备不是p
就“可信”主机而言,任何能够将东西插入networking的人都是不可信任的,但是除非您正在validation客户端(IPsec /证书/ etc),否则可以在任何networking上更改MAC和IP地址适配器。 所以你不能以这种方式“信任”他们。 既然我不知道你需要什么,我真的不能评论。 有像802.1X这样的交换硬件可用的方法可能是你正在寻找的。