一块网卡绑定多个IP地址，每个地址负责一个网段，不论怎么设置，不同网段的机器都能相互访

sczlin

一块网卡绑定多个IP地址，每个地址负责一个网段，不论怎么设置，不同网段的机器都能相互访问，怎么让其不能跨网段访问呢？本人使用debian linux 3.1(stable)

例如，Linux服务器的IP设置如下：
eth0   a.b.c.d 连接外网

eth1   172.16.10.1

eth1:0 192.168.1.1
eth1:1 192.168.2.1
eth1:2 192.168.3.1

现在192.168.1.1 ，192.168.2.1，192.168.3.1，各负责192.168.1.0，192.168.2.0，192.168.3.0三个网段，3个网段的子网掩码都为255.255.255.0，一般情况，三个网段不能相互跨网段访问，现在情况是默认三个网段的机器都可以相互ping通，也能相互访问。怎么在linux服务器上设置，让3个段的主机不能相互访问呢？

abc1239

你的交换机要支持虚网才行，并保证不同网段在不同虚网。
否则他们本来就在一起，你把linux仍掉他们也一样可以互访

晨想

iptables 好像不支持虚拟网卡的设置，不然直接限定那个端口的出入包就应该可以了。

Arabian

拓扑没有说清楚，不过根据描述大概理解是你的linux作网关，其他三个网段都通过linux访问外网，但它们在物理上没有隔断，不知道理解的对不对。

如果是这样的话，道理很简单，linux的地址既然是每个网段的网关地址，那么其他网段里的机器只要对非本网段的地址（不论目的地址是外网还是其他内网网段）进行访问，那么自然都会通过linux，而你的linux维护着所有已知地址的路由，你可以route一下看看路由表，那么就会有如你描述的现象出现。

三楼的怀疑我也不确定（没试过），不过如果iptable支持对别名进行操作的话，reject或drop还是可行地。

sczlin

Post by Arabian
拓扑没有说清楚，不过根据描述大概理解是你的linux作网关，其他三个网段都通过linux访问外网，但它们在物理上没有隔断，不知道理解的对不对。

如果是这样的话，道理很简单，linux的地址既然是每个网段的网关地址，那么其他网段里的机器只要对非本网段的地址（不论目的地址是外网还是其他内网网段）进行访问，那么自然都会通过linux，而你的linux维护着所有已知地址的路由，你可以route一下看看路由表，那么就会有如你描述的现象出现。

三楼的怀疑我也不确定（没试过），不过如果iptable支持对别名进行操作的话，reject或drop还是可行地。

iptables 支持对对别名进行操作，可以控制虚拟网卡的数据包是否可以通过啊

对了，三个网卡在物理线路上在一个网络里面，只是用了不同网段的IP，使用不同的网关上网。

springwind426

如果你没有从交换机上通过VLAN进行子网的划分，那么，如果两个客户端想相互通信的话，只要客户端将子网掩码设置为255.255.0.0，或者添加一个其他的IP（比如10.10.0.x/24)，那么他们还是可以互相通信的。

只有在交换机上进行逻辑的隔离（划分VLAN），才可以做到这种控制
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j DROP
表示将内网之间的通信阻断

晨想

Post by sczlin
iptables 支持对对别名进行操作，可以控制虚拟网卡的数据包是否可以通过啊

对了，三个网卡在物理线路上在一个网络里面，只是用了不同网段的IP，使用不同的网关上网。

别名操作之前似乎不可以的，看来现在更新了。。我试试。：）。