Portál AbcLinuxu, 8. května 2025 22:58
Dobrý den,
mám PC jako server, na něm debian etch s 2mi síťovkami. eth0 je připojena k ISP a eth1 je připojena do lokální sítě. eth1 má 2 ip adresy a jdou přes ní dvě sítě a to 192.168.2.0/24 a 192.168.3.0/24. Chtěl bych se zeptat, jestli je možné a na firewallu zakázat aby uživatel ze sítě 2.0 viděl uživatele ze sítě 3.0. Je to vůbec možné?
Děkuji
budete to muset realizovat přes VLAN
Mno jo, ale k cemu to bude pokud stejne medium spojuje obe site? To by snad musel mit switch ktery umi vlan-y pak by to slo realizovat ne?
Dalsi moznosti je nastavit spravnou VLAN na kazdem stroji. Toto bude fungovat za predpokladu, ze si uzivatele nebudou schopni toto zmenit. Tedy nebudou mit roota/administratora. Dalsi bezpecnostni doura je, ze kdokoli muze prijit s notebookem ci rebootne do live distra a ma pakety z obou siti jako na dlani. Navic pozor na firewall - ne vsechny firewally zvladaji nezavisle natovani pro vsechny VLANy na jednom fyzickem rozhranni.
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.3.0/24 -j DROP(a totez opacne) Predpoklada to napevno nastavene ip adresy nebo dhcp server, co to prideli spravne. Nicmene jak uz zminovali nahore... neni to vubec odolne proti stouralom
Teprve pokud se dá tohle dohromady s VLAN, bude z toho konečně rozumné řešení.
Samostatné oddělení do VLAN, jak navrhují jiní výše, je jen první krok. Ty VLANy musí být v samostatných podsítích, tedy musí být ukončeny v tom směrovači (ehm, tedy serveru, dle zadání), a tam se samozřejmě na L3 vrstvě obě sítě mezi sebou opět co - no uvidí...
Predpoklada to napevno nastavene ip adresy nebo dhcp server, co to prideli spravne.
Pokud bude zahazovat adresy, které jsou mimo přidělené rozsahy, není problém. Tvé pravidlo se týká celého /24 prefixu a jak si tam kdo ustele, to je směrovači buřt.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.