Архив форумов ЦИТФорума

[Eldes]

Всем привет. Я тут новичок, и в настройке сетей тоже.

Исходные данные. Есть домашняя локалка с роутером Asus. На роутере настроен port forwarding (там это называется Virtual Server) и запросы из интернета на порты 22 и 8080 перенаправляются на одну из машин (назовем ее сервер ).

Задача: изолировать сервер от локальной сети. То есть интернет должен быть и на сервере, и на остальных машинах локальной сети, но трафик между сервером и локальной сетью необходимо отсечь полностью.

Судя по тому, что я почитал, может подойти выделение этой машины в отдельную подсеть, но как это сделать, и насколько это надежно защищает информацию в локальной сети - разобраться не получилось.

[VeL]

Ни DMZ ли тебе нужно?
_________________
Best regards

[Eldes]

[VeL]

Лично я бы сделал это в разных подсетях и фаерволом потом разруливал.

Все дело зависит от возможностей твоего роутера (в данном случае это я так понял ASUS), ну и собственно для ответа на вопрос: "для чего это тебе нужно?". Поскольку не сказано ничего об этом. Эсли бы рассказал о задаче в целом, то возможно тебе бы посоветовали более правильное решение. А так можно сказать что задачка на подсети и разруливание правил фаервола между этими подсетями.
_________________
Best regards

[Eldes]

[VeL]

Ну что я могу сказать.

Тут видится следующая задачка для твоего решения.

Имеем один ASUS роутер и две подсети.
Нужно чтобы был выход в инет из этих двух подсетей. Таким образом мы ограничиваем возможность доступа к основной локалке.

По опыту использования и настройки подобных роутеров, могу сказать что обычно они имеют возможность выводить в интернет через себя только одну подсеть.

Но DMZ это в роутерах насколько я понимаю уже другая подсеть (это чисто по логике), какую ты собственно говоря можешь заюзать, ну и такую фичу я видел в поддержке в подобного рода девайсах, ну и по логике у DMZ подсети (почитай в wiki про то что такое DMZ и станет более понятно). Поэтому поидее должно получится.

Ну или есть еще другой вариант. Берешь например комп с Linux (ну или чем то другим что лучше знаешь, FreeBSD, Windows или что-то еще) подключаешь его например за своим асусом, втыкаешь в него три сетевухи и делаешь из него шлюз в интернет, одна сетевух смотрит на асус, а две других на две твоих внутренних локалки, которые и не должны пересекаться, ну и соответственно фаерволом уже разруливаешь доступы к сетям. Ну или можно этот комп поставить вместо твоего асуса, я просто не знаю тип твоего интернет подключения. На роутере реализованном с помошью компа можно как говорится "черта лысого" настроить...

Ну или третий вариант, тебе нужен более продвинутый аппаратный девайс с продвинутыми фичами, в котором продвинутый фаервол и есть возможность работы с несколькими подсетями и возможность раздавать инет для разных подсетей. Но такая железка и бабла стоит поболее.
_________________
Best regards

[and3008]

Имеющейся железкой сделать задуманное не получится. Она этого просто не умеет. Вообще не умеет. Совсем. Полностью. Никак.

Что делать? Либо закрывать компы своими собственными персональными FireWall-ами (если компов мало, то почему бы и нет?), либо покупать железку, которая это умеет. Железка будет стоить значительно больше, чем 150 баксов!

[Eldes]

[and3008]

Если вы решитесь сменить софт, не убьете при этом железку, правильно потом ее настроите, то все у вас получится.

[Benzedrin]

У таких устройств при настройке через коммандную строку обычно больше возможностей (баловался с длинком каким-то), просто не все доступно через html-морду... но тут методом проб и ошибок)

еще есть вариант, если есть возможность назначить на какой-либо из портов второй адрес, то сделать сеть с маской /30 и опять маршрутами (или на стороне компа все дропать)