Strona 1 z 2
odseparowanie sieci wewnętrznych od siebie
: 27 lipca 2010, 15:08
autor: rmika
Witam,
Mam taki problem. W firmie mam już jedna podsieć A podłączona do serwera, który pełni role routera i firewalla. Teraz muszę zrobić nową podsieć B, która będzie obsługiwać HOTSPOTA.
Jak zrobić aby te dwie podsieci nie widziały się na wzajem ?
: 27 lipca 2010, 15:25
autor: grzesiek
Oby nie były podpięte przez jeden przełącznik. Od strony Debiana nie zezwalać na przekazywanie pakietów między sieciami, łańcuch FORWARD.
: 27 lipca 2010, 15:32
autor: rmika
No właśnie one będą podłączone pod jeden przełącznik. A jak by wyglądała reguła w firewallu?
: 28 lipca 2010, 07:41
autor: rmika
A czy w takim przypadku pomoże zamontowanie dodatkowej kart sieciowej do serwera.. aby kabelek z niej wychodził bezpośrednio do AP'ka, który rozsyła sygnał HOTSPOTa
: 28 lipca 2010, 09:04
autor: Redhead
Mozna zastosuj VLANy na przełączniku.
: 28 lipca 2010, 12:32
autor: rmika
zrobiłem tak, że do routera podłączyłem dodatkową kartę sieciową, która pracuje na adresacji 172.31.2.0/24. Bezpośrednio podłączyłem kablem tą kartę z AP'kiem. W firewallu dodałem takie reguły i chyba wszystko mi dobrze działa
Kod: Zaznacz cały
block out quick on rl0 from 172.31.2.0/24 to 192.168.0.0/16
block in quick on rl0 from 172.31.2.0/24 to 192.168.0.0/16
pass in quick on rl0 proto tcp from 172.31.2.0/24 to any port 80
pass out quick on rl0 proto tcp from 172.31.2.0/24 to any port 80
pass in quick on rl0 proto udp from 172.31.2.0/24 to any port 53
pass out quick on rl0 proto udp from 172.31.2.0/24 to any port 53
block in quick on rl0 from 172.31.2.0/24 to any
block out quick on rl0 from 172.31.2.0/24 to any
Tylko mam prośbę... jak dokładnie sprawdzić czy czasem ta nowa podsieć (hotspot) nie ma dostępu do starej podsieci, ?
: 29 lipca 2010, 11:17
autor: Cyphermen
Podłącz komputer pod tego hotspota i wykonaj ping albo sesje zdalną.
Jak dla mnie będą się widziały jeśli mają router na swoich końcach, a mają. Zastanawiam się czy wyłączenie ip_forward by nie pomogło a jeśli nie to iptables jakieś regułki
Vlan chyba też pomogą na switchu.
: 29 lipca 2010, 21:46
autor: rmika
U mnie działa... tzn sieci się nie widzą... nie moge tamtej sieci pingować, nie mogę dostać się do serwa np. płatnika, samby, www. Jeżeli chodzi o ten router to one (te dwie podsieci) są podłączone do wspólnego serwera, który pełni role routera i firewalla...
Czy może ktoś ma jakieś swoje doświadczenia na tym tle?
: 30 lipca 2010, 10:14
autor: Cyphermen
No ja mam właśnie takie jak opisałem.
Mam server-ruter do niego idą 2 kable. Czyli każda karta ma inna podsieć i inny kabel. I Te podsieci widzą się, mam włączony ip_forward.
I dla mnie to jest logiczne bo router wie o tych podsieciach wiec kieruje ruch z jednej do drugiej.
: 30 lipca 2010, 12:43
autor: rmika
no tak ale ta regułka
Kod: Zaznacz cały
block out quick on rl0 from 172.31.2.0/24 to 192.168.0.0/16
block in quick on rl0 from 172.31.2.0/24 to 192.168.0.0/16
blokuje miedzy nimi ruch