Cześć, u mnie podobnie, tylko że trzy podsieci w trzech vlanach:
br0 - vlan1 (192.168.1.0/24)
br1 - vlan2 (192.168.2.0/24)
br3 - vlan3 (192.168.3.0/24)
Wszędzie DHCP a w konfiguracji DNS mam włączoną opcję "Use internal DNS" - co w tym przypadku jest ważne, bo Klienci jako DNS mają wpisany adres bramy.
Zarządzanie mam na 443.
Najpierw sprawdź sobie aktualne reguły: iptables -L INPUT -v -n --line-numbers (u mnie wynik wygląda tak:)
Chain INPUT (policy DROP 3 packets, 410 bytes)
num pkts bytes target prot opt in out source destination
1 91 3820 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
2 19161 2824K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 2 92 shlimit tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW
4 54 5676 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
5 1124 79517 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
6 6 361 ACCEPT all -- br1 * 0.0.0.0/0 0.0.0.0/0
7 34 1088 ACCEPT all -- br2 * 0.0.0.0/0 0.0.0.0/0
8 296 89246 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
9 104 5776 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51515
Teraz, żeby wyciąć dostęp do zarządzania dla vlan2 dodałem trzy wpisy ponad regułą nr6, która dopuszcza cały ruch z br1:
iptables -I INPUT 6 -i br1 -d 192.168.1.1 -j DROP
iptables -I INPUT 7 -p tcp --dport 443 -i br1 -d 192.168.2.1 -j DROP
iptables -I INPUT 8 -i br1 -d 192.168.3.1 -j DROP
Ponowne wywołanie iptables -L INPUT -v -n --line-numbers daje
Chain INPUT (policy DROP 80 packets, 10472 bytes)
num pkts bytes target prot opt in out source destination
1 120 5040 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
2 25072 4657K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 2 92 shlimit tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW
4 63 6896 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
5 1770 118K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
6 73 4380 DROP all -- br1 * 0.0.0.0/0 192.168.1.1
7 18 1080 DROP tcp -- br1 * 0.0.0.0/0 192.168.2.1 tcp dpt:443
8 72 4320 DROP all -- br1 * 0.0.0.0/0 192.168.3.1
9 344 24856 ACCEPT all -- br1 * 0.0.0.0/0 0.0.0.0/0
10 47 1504 ACCEPT all -- br2 * 0.0.0.0/0 0.0.0.0/0
11 430 130K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
12 145 8052 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51515
Jak widać, ruch z br1 do panelu zarządzania jest dropowany :-)
Jeśli zamiast interfejsów chcesz operować IP, to wtedy zamiast -i br1 wpisujesz np -s 192.168.0.0/24. |