URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 64587
[ Назад ]

Исходное сообщение
"Зарубаем форвардинг netbios'a"
Отправлено FoX , 06-Мрт-06 11:47

Имеется "железный" шлюз на базе п2с бездисковой загрузкой по сети, стоит он между сетями, 2 интерфейса, бридж ipv4, соответственно с одной подсети в другую летит всё что нужно и ненужно, необходимо закрыть между подсетями весь нетбиос траффик!?!
Добавляю шлюзу фаервол, добовляю правила
iptables -A FORWARD(INPUT) -p tcp(udp) --dport 137(138,139,445) -j REJECT(DROP)
пробовал такие варианты, непомогает всё равно файло гоняют, да и в фаерволлах в одной подсети виден всякий мусор с другой.
iptables'ы проверял другими правилами, работают, по крайней мере к себе не пускает по ссш и ицмп.
Как можно прикрыть нетбиос, с его броадкаст мусором, в сети это напрочь ненадо, как в плане лишней загрузки так и в плане использования нетбиоса

Содержание

Зарубаем форвардинг netbios'a,satelit, 11:51 , 06-Мрт-06
- Зарубаем форвардинг netbios'a,FoX, 13:58 , 06-Мрт-06
  - Зарубаем форвардинг netbios'a,satelit, 14:06 , 06-Мрт-06

Сообщения в этом обсуждении

"Зарубаем форвардинг netbios'a"
Отправлено satelit , 06-Мрт-06 11:51

>Имеется "железный" шлюз на базе п2с бездисковой загрузкой по сети, стоит он
>между сетями, 2 интерфейса, бридж ipv4, соответственно с одной подсети в
>другую летит всё что нужно и ненужно, необходимо закрыть между подсетями
>весь нетбиос траффик!?!
>Добавляю шлюзу фаервол, добовляю правила
>iptables -A FORWARD(INPUT) -p tcp(udp) --dport 137(138,139,445) -j REJECT(DROP)
>пробовал такие варианты, непомогает всё равно файло гоняют, да и в фаерволлах
>в одной подсети виден всякий мусор с другой.
>iptables'ы проверял другими правилами, работают, по крайней мере к себе не пускает
>по ссш и ицмп.
>
>Как можно прикрыть нетбиос, с его броадкаст мусором, в сети это напрочь
>ненадо, как в плане лишней загрузки так и в плане использования
>нетбиоса

К сведению: бридж работает на уровне ethernet, а iptables на уровне IP, а этот уровень повыше будет, до iptables просто не доходят пакеты.

"Зарубаем форвардинг netbios'a"
Отправлено FoX , 06-Мрт-06 13:58

К слов убы ещё добавил как прикрыть то !?! =)
И есть ли для таких целей маршрутизаторы под ключь так сказать в предела 100$.

"Зарубаем форвардинг netbios'a"
Отправлено satelit , 06-Мрт-06 14:06

>К слов убы ещё добавил как прикрыть то !?! =)
>
>И есть ли для таких целей маршрутизаторы под ключь так сказать в
>предела 100$.
В одном из последних номеров журнала Хакер за прошлый год была статейка про невидимый шлюз с фильтрацией пакетов, правда на OpenBSD, поищи у них на сайте, она тебе должна помоч, а я сейчас не вспомню как оно было.