非虚拟化网络接口隔离的选项?

非虚拟化网络接口隔离的选项?

我的服务器有两个物理网卡,接口分别为 eth0 192.168.1/24 (lan) 和 eth1 192.168.3/24 (dmz)。两个网卡都通过有线方式连接到路由器。路由器有两个用于 lan 和 dmz 的 VLAN,端口也分开,区域之间有防火墙 (OpenWRT)。

问题对象是服务器和 Linux 优先处理环回接口的方式。我想阻止 dmz -> lan 发起的流量,路由器防火墙会在网络上处理这些流量,但我们知道,通过本地 NIC 之间的服务器环回接口的流量甚至不会到达路由器。lan -> dmz 方向都必须允许。

据我所知,这发送给自己的内核补丁是可以强制将环回流量传输到线路上的一种选项。有谁能证实、体验过、有缺点吗?

如何通过 iptables 实现这一点?iptables 需要通用规则,覆盖来自 dmz 的 lan 子网内的所有服务和计算机。使用不同的引号组合搜索“iptables block loopback”似乎是死路一条,因为每个人都在谈论确保所有环回都已完全启用。

那么采用新样式的网络命名空间呢“ip netns”

答案1

环回接口的要点是它永远不应到达路由器,而应仅环回到主机而不到达 NIC。

我怀疑您需要更改某处的设置以阻止您的特定应用程序使用环回接口(127.0.0.1)(如果受支持)。

相关内容