odseparowanie sieci wewn

rmika · Post autor: **rmika** » 27 lipca 2010, 15:08

Witam,
Mam taki problem. W firmie mam już jedna podsieć A podłączona do serwera, który pełni role routera i firewalla. Teraz muszę zrobić nową podsieć B, która będzie obsługiwać HOTSPOTA.

Jak zrobić aby te dwie podsieci nie widziały się na wzajem ?

grzesiek · Post autor: **grzesiek** » 27 lipca 2010, 15:25

Oby nie były podpięte przez jeden przełącznik. Od strony Debiana nie zezwalać na przekazywanie pakietów między sieciami, łańcuch FORWARD.

rmika · Post autor: **rmika** » 27 lipca 2010, 15:32

No właśnie one będą podłączone pod jeden przełącznik. A jak by wyglądała reguła w firewallu?

rmika · Post autor: **rmika** » 28 lipca 2010, 07:41

A czy w takim przypadku pomoże zamontowanie dodatkowej kart sieciowej do serwera.. aby kabelek z niej wychodził bezpośrednio do AP'ka, który rozsyła sygnał HOTSPOTa

Redhead · Post autor: **Redhead** » 28 lipca 2010, 09:04

Mozna zastosuj VLANy na przełączniku.

rmika · Post autor: **rmika** » 28 lipca 2010, 12:32

zrobiłem tak, że do routera podłączyłem dodatkową kartę sieciową, która pracuje na adresacji 172.31.2.0/24. Bezpośrednio podłączyłem kablem tą kartę z AP'kiem. W firewallu dodałem takie reguły i chyba wszystko mi dobrze działa

Kod: Zaznacz cały

block out quick on rl0 from 172.31.2.0/24 to 192.168.0.0/16
block in quick on rl0 from 172.31.2.0/24 to 192.168.0.0/16

pass in quick on rl0 proto tcp from 172.31.2.0/24 to any port 80
pass out quick on rl0 proto tcp from 172.31.2.0/24 to any port 80
pass in quick on rl0 proto udp from 172.31.2.0/24 to any port 53
pass out quick on rl0 proto udp from 172.31.2.0/24 to any port 53
 
block in quick on rl0 from 172.31.2.0/24 to any
block out quick on rl0 from 172.31.2.0/24 to any

Tylko mam prośbę... jak dokładnie sprawdzić czy czasem ta nowa podsieć (hotspot) nie ma dostępu do starej podsieci, ?

Cyphermen · Post autor: **Cyphermen** » 29 lipca 2010, 11:17

Podłącz komputer pod tego hotspota i wykonaj ping albo sesje zdalną.

Jak dla mnie będą się widziały jeśli mają router na swoich końcach, a mają. Zastanawiam się czy wyłączenie ip_forward by nie pomogło a jeśli nie to iptables jakieś regułki
Vlan chyba też pomogą na switchu.

rmika · Post autor: **rmika** » 29 lipca 2010, 21:46

U mnie działa... tzn sieci się nie widzą... nie moge tamtej sieci pingować, nie mogę dostać się do serwa np. płatnika, samby, www. Jeżeli chodzi o ten router to one (te dwie podsieci) są podłączone do wspólnego serwera, który pełni role routera i firewalla...

Czy może ktoś ma jakieś swoje doświadczenia na tym tle?

Cyphermen · Post autor: **Cyphermen** » 30 lipca 2010, 10:14

No ja mam właśnie takie jak opisałem.
Mam server-ruter do niego idą 2 kable. Czyli każda karta ma inna podsieć i inny kabel. I Te podsieci widzą się, mam włączony ip_forward.
I dla mnie to jest logiczne bo router wie o tych podsieciach wiec kieruje ruch z jednej do drugiej.

rmika · Post autor: **rmika** » 30 lipca 2010, 12:43

no tak ale ta regułka

Kod: Zaznacz cały

block out quick on rl0 from 172.31.2.0/24 to 192.168.0.0/16
block in quick on rl0 from 172.31.2.0/24 to 192.168.0.0/16

blokuje miedzy nimi ruch

odseparowanie sieci wewn

odseparowanie sieci wewnętrznych od siebie