我正在查看一个多站点部署,每个远程位置都有一个IPSec VPN回数据中心。 我试图find一个简单的方法,让支持人员能够访问远程位置,但却安全地进行。
一般而言,A组的工作人员只能进入A组的设备,而B组的工作人员只能进入B组的设备。 两个团队都可以将他们的设备放在一个地方(想想A组pipe理服务器,B组pipe理IP闭路电视系统)。 每个组都有他们自己的专用子网,例如A组可能有10.0.0.0/24和B组10.0.1.0/24。
为数百台机器创build明确的规则感觉过于繁琐。 有一个更好的方法,比列出用户可以连接到每个单独的机器。 我的想法是这样的:在每个位置,把它的一部分分配给一个给定的组。 所以10.xx1-15可以是A组的设备,10.xxx16-31可以是B组等。
现在的iptables 问题部分:是否有可能在数据中心只有2个规则来匹配这个,而不考虑远程位置的数量? 一个匹配例如10.xx1-15和一个匹配16-31?
如果不是的话,我还有另外一种方法吗?
编辑:我想我可以使用ipsets,这将减less规则的数量,即使我仍然有pipe理设置的开销。
我想要一个规则覆盖:10.0.0.16 / 28,10.0.1.16 / 28,10.0.2.16 / 28
那么你会想要的
iptables -A INPUT -s 10.0.0.16/255.255.0.240 iptables完全允许带有“漏洞”的位掩码。
看来你似乎错过了显而易见的:
iptables -A INPUT .... -s 10.0.0.16/28 -j ...