안녕하세요,
현재 네트워크 구성이 다음과 같은 상황입니다.
------------------------------------------
외부망 ---> 특정 IP 차단(방화벽) 용 브릿지 CentOS 머신 ---> 언매니지드 스위치 ---> 호스트 머신들 (약 100대 가량)
------------------------------------------
호스트 머신의 MAC에 따라서 사용 가능한 IP의 제한을 두고 싶습니다.
아무래도 IP 차단용 브릿지 머신에서 이걸 해결 가능할 것 같은데요,
가능하면 추가 장비를 들이지 않고 해결할 수 있었으면 좋겠습니다.
VLAN 구성을 하면 되나 알아봤는데 이렇게 아이피 하나하나를 다르게 할당하기 위해서는 적합하지 않은 것 처럼 보이더라구요.
브릿지 머신의 iptables에서 IP와 MAC을 매칭시킬 수 있나 찾아봤는데 이런 방법도 잘 보이지 않구요.
호스트 머신들이 공인아이피를 사용해야 하는 상황이라 NAT 구성도 어려운 상황입니다.
혹시 방법을 아시는 분이 있으시다면 공유 부탁드리겠습니다.
서명
ºê¸´Áö ¸Ó½Å¿¡¼ ÇÎÀº ¾È °¡Áö¸¸ ¾ÆÀÌÇÇ ÇÒ´çÀº Á¤»óÀûÀ¸·Î µÇ°í
´Ù¸¥ ¸Ó½Å¿¡¼µµ Á¤»óÀûÀ¸·Î Á¢¼ÓÀÌ µÇ¾î¹ö¸®³×¿ä.
ÀÌ ¹æ¹ýÀ» »ç¿ëÇÏ·Á¸é ¸ðµç ¸Ó½ÅÀÇ arp table¿¡ staticÀ¸·Î ³Ö¾îÁà¾ß ÇÒ °Í °°Àºµ¥, ÀÌ°Ç »ç½Ç»ó Á» ¾î·Á¿ï °Í °°½À´Ï´Ù ¤Ð¤Ð
¹¹ ÀÌ·±°Ô Àü¹® Àåºñ°¡ Á¸ÀçÇÏ´Â ÀÌÀ¯°ÚÁÒ.....
¿ö³« Á¦°¡ ±ÛÀ» Àß ¸ø ½á¼... ±ÛÀÇ ¿äÁö°¡ Àß ³ªÅ¸³ °Í °°Áö ¾Ê¾Æ ºñ½ÁÇÑ ±â´ÉÀ» ³²°Üµå¸³´Ï´Ù.
¼öÀÛ¾÷À¸·Î ºñ½ÁÇÏ°Ô ±¸ÇöÇÏ·Á¸é ³ë°¡´Ù´Â ¾î¿ ¼ö ¾ø´Âµí ÇÕ´Ï´Ù...
iptables -t FORWARD -A INPUT -i eth1 -m mac --mac-source 12:34:56:12:34:56 -s 192.168.100.1 -j ACCEPT
iptables -t FORWARD -A INPUT -i eth1 -m mac --mac-source 12:34:56:12:34:56 -s 133.111.69.74 -j ACCEPT
iptables -t FORWARD -A INPUT -i eth1 -j DROP
iptables -P FORWARD DROP
bridge networkÀº host¿¡¼ ³ª°¡´Â macÀ» (guestÀÇ macÀ¸·Î)º¯Á¶ÇÏ´Â °³³äÀ̶ó ¾î´À host¿¡¼ ³ª¿Â°ÇÁö ºê¸´Áö¿ë ¸Ó½Å¿¡¼´Â ÆÇ´ÜÇÒ ¼ö ¾ø½À´Ï´Ù.
¸Å´ÏÁö¸ÕÆ® ½ºÀ§Ä¡¸¦ ÀÌ¿ëÇؼ IP°¡ ¾Æ´Ñ ¹°¸®ÀûÀÎ LANÆ÷Æ® ´ç MAC°³¼ö¸¦ Á¦ÇÑÇϴ°ÍÀÌ ÇϳªÀÇ ¹æ¹ýÀÏµí ½Í½À´Ï´Ù.
Á» ´õ º¹ÀâÇϰԴ ȣ½ºÆ®¸¶´Ù ´Ù¸¥ vlanÀ» ÁÖ°í ºê¸´Áö¿ë ¸Ó½Å¿¡¼ ÇØ´ç vlanµéÀ» ºê¸´Áö&ÇÊÅÍÇÒ¼öµµ ÀÖÀ»°Å°°±¸¿ä
È£½ºÆ®¸Ó½ÅÀ̶ó Çؼ ´ç¿¬È÷ VMÀÎÁÙ ¾Ë¾Ò³×¿ä¤Ð¤Ð¤Ð¤Ð
mac ¿¡ ´ëÇÑ ACL Àº ¾Õ¼ ºÐµéÀÌ ¾ð±ÞÇѵ¥·Î src ip ¿Í src mac À» ¸ÅĪ½ÃÄѼ ÇÊÅ͸µÇϱ¸¿ä