Impedir que um IP saia para a internet [RESOLVIDO]

1. Impedir que um IP saia para a internet [RESOLVIDO]

Leonardo Piffero Curti
CurT1

(usa Debian)

Enviado em 05/08/2017 - 00:39h

Olá, vou tentar ser simples e objetivo, tenho um servidor com 3 placas de rede:
Uma sai para a internet no ip 172.30.1.2
uma sai para intranet 100.120.17.1
E a outra faz um NAT dhcp 100.120.19.1

Preciso que um determinado IP saia somente para a intranet e não para a internet, qual é a regra que eu posso usar para definir isso?


  


2. MELHOR RESPOSTA

Leandro Silva
LSSilva

(usa Outra)

Enviado em 05/08/2017 - 17:34h

CurT1 escreveu:

Olá, vou tentar ser simples e objetivo, tenho um servidor com 3 placas de rede:
Uma sai para a internet no ip 172.30.1.2
uma sai para intranet 100.120.17.1
E a outra faz um NAT dhcp 100.120.19.1

Preciso que um determinado IP saia somente para a intranet e não para a internet, qual é a regra que eu posso usar para definir isso?


Vamos ver se consigo te ajudar...
Você quer que algum determinado ip da rede local saia apenas para a rede "100.120.17.1"? Então seria 100.120.19.22 -> 100.120.17.0/24, por exemplo?
Se sim, nesse caso, vamos supor:
eth0 - interface de rede local
eth1 - interface de internet
eth2 - interface de intranet

iptables -A FORWARD -i "iface local" -s "IP" -d "INTRANET" -o "iface intranet" -j ACCEPT
iptables -A FORWARD -i "iface local" -s "IP" -o "iface internet" -j DROP

Ex:

iptables -A FORWARD -i eth0 -s 100.120.19.22 -d 100.120.17.0/24 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth0 -s 100.120.19.22 -o eth1 -j DROP

Nesse caso o IP a ser bloqueado para internet seria o 100.120.19.22. E essa primeira regra não é necessariamente necessária, só caso utilize um firewall com política drop para forward, utilize somente ela.
Espero que tenha sido útil, porém posso estar errado, favor corrigir se necessário.

[]'

3. Re: Impedir que um IP saia para a internet [RESOLVIDO]

Leonardo Piffero Curti
CurT1

(usa Debian)

Enviado em 06/08/2017 - 14:17h

Muito obrigado!
Amanhã vou testar lá na empresa e respondo aqui se funcionou.


4. Re: Impedir que um IP saia para a internet [RESOLVIDO]

Leonardo Piffero Curti
CurT1

(usa Debian)

Enviado em 07/08/2017 - 15:16h

Cara, não aconteceu nada...


5. Re: Impedir que um IP saia para a internet [RESOLVIDO]

Ricardo Vasconcellos
qxada07

(usa Slackware)

Enviado em 07/08/2017 - 15:27h

Qual interface está conectado a internet (eth0, eth1)????

Att.

Ricardo Vasconcellos
Analista TI Sênior

Jesus Cristo morreu por mim e por você para que tenhamos vida eterna. Jesus Te ama
João 3:16


6. Re: Impedir que um IP saia para a internet

Leandro Silva
LSSilva

(usa Outra)

Enviado em 07/08/2017 - 15:52h

CurT1 escreveu:

Cara, não aconteceu nada...


Passa o seu script de firewall pra gente dar uma analisada, assim como a saída do comando:
ip addr show
e também do:
ip route

E também passa pra gente a regra que sugeri e como você adicionou ao seu script de firewall.

[]'


7. Re: Impedir que um IP saia para a internet [RESOLVIDO]

Leonardo Piffero Curti
CurT1

(usa Debian)

Enviado em 13/08/2017 - 17:22h

Peço desculpa pela demora em responder, estava corrido aqui...
Reescrevi a regra e funcionou, agradeço pela atenção!