Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Eldes
Зарегистрирован: 27.11.2011 Сообщения: 4
|
Добавлено: Вс Ноя 27 2011 09:23 Заголовок сообщения: Как настроить машину с инетом и изоляцией от локальной сети? |
|
|
Всем привет. Я тут новичок, и в настройке сетей тоже.
Исходные данные. Есть домашняя локалка с роутером Asus. На роутере настроен port forwarding (там это называется Virtual Server) и запросы из интернета на порты 22 и 8080 перенаправляются на одну из машин (назовем ее сервер ).
Задача: изолировать сервер от локальной сети. То есть интернет должен быть и на сервере, и на остальных машинах локальной сети, но трафик между сервером и локальной сетью необходимо отсечь полностью.
Судя по тому, что я почитал, может подойти выделение этой машины в отдельную подсеть, но как это сделать, и насколько это надежно защищает информацию в локальной сети - разобраться не получилось. |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Вс Ноя 27 2011 20:55 Заголовок сообщения: |
|
|
Ни DMZ ли тебе нужно? _________________ Best regards |
|
Вернуться к началу |
|
|
Eldes
Зарегистрирован: 27.11.2011 Сообщения: 4
|
Добавлено: Вс Ноя 27 2011 21:41 Заголовок сообщения: |
|
|
VeL писал(а): | Ни DMZ ли тебе нужно? |
Похоже на то. А как это реализовать?
Скажем, я на сервере поставлю программный файервол и WMWare, в которой будет крутиться linux с нужными сервисами. Файервол должен будет пропускать к виртуальной машине пакеты только от маршрутизатора, и также обратно.
Это сработает?
И имеет ли смысл все же выделять подсеть, или просто назначить серверу адрес из общей подсети? |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Вс Ноя 27 2011 21:58 Заголовок сообщения: |
|
|
Лично я бы сделал это в разных подсетях и фаерволом потом разруливал.
Все дело зависит от возможностей твоего роутера (в данном случае это я так понял ASUS), ну и собственно для ответа на вопрос: "для чего это тебе нужно?". Поскольку не сказано ничего об этом. Эсли бы рассказал о задаче в целом, то возможно тебе бы посоветовали более правильное решение. А так можно сказать что задачка на подсети и разруливание правил фаервола между этими подсетями. _________________ Best regards |
|
Вернуться к началу |
|
|
Eldes
Зарегистрирован: 27.11.2011 Сообщения: 4
|
Добавлено: Вс Ноя 27 2011 22:10 Заголовок сообщения: |
|
|
VeL писал(а): | Лично я бы сделал это в разных подсетях и фаерволом потом разруливал.
Все дело зависит от возможностей твоего роутера (в данном случае это я так понял ASUS), ну и собственно для ответа на вопрос: "для чего это тебе нужно?". Поскольку не сказано ничего об этом. Эсли бы рассказал о задаче в целом, то возможно тебе бы посоветовали более правильное решение. А так можно сказать что задачка на подсети и разруливание правил фаервола между этими подсетями. |
Роутер ASUS WL-520GU. В стандартной прошивке (стоит 3.0.0.8) даже есть некий фаервол, но его возможностей, видимо, будет недостаточно.
Комп предоставляется разработчику, так что у него будут на нем админские права. С другой стороны, предоставлять ему доступ к машинам локальной сети не планируется. |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Вс Ноя 27 2011 22:51 Заголовок сообщения: |
|
|
Ну что я могу сказать.
Тут видится следующая задачка для твоего решения.
Имеем один ASUS роутер и две подсети.
Нужно чтобы был выход в инет из этих двух подсетей. Таким образом мы ограничиваем возможность доступа к основной локалке.
По опыту использования и настройки подобных роутеров, могу сказать что обычно они имеют возможность выводить в интернет через себя только одну подсеть.
Но DMZ это в роутерах насколько я понимаю уже другая подсеть (это чисто по логике), какую ты собственно говоря можешь заюзать, ну и такую фичу я видел в поддержке в подобного рода девайсах, ну и по логике у DMZ подсети (почитай в wiki про то что такое DMZ и станет более понятно). Поэтому поидее должно получится.
Ну или есть еще другой вариант. Берешь например комп с Linux (ну или чем то другим что лучше знаешь, FreeBSD, Windows или что-то еще) подключаешь его например за своим асусом, втыкаешь в него три сетевухи и делаешь из него шлюз в интернет, одна сетевух смотрит на асус, а две других на две твоих внутренних локалки, которые и не должны пересекаться, ну и соответственно фаерволом уже разруливаешь доступы к сетям. Ну или можно этот комп поставить вместо твоего асуса, я просто не знаю тип твоего интернет подключения. На роутере реализованном с помошью компа можно как говорится "черта лысого" настроить...
Ну или третий вариант, тебе нужен более продвинутый аппаратный девайс с продвинутыми фичами, в котором продвинутый фаервол и есть возможность работы с несколькими подсетями и возможность раздавать инет для разных подсетей. Но такая железка и бабла стоит поболее. _________________ Best regards |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Ноя 29 2011 22:29 Заголовок сообщения: |
|
|
Имеющейся железкой сделать задуманное не получится. Она этого просто не умеет. Вообще не умеет. Совсем. Полностью. Никак.
Что делать? Либо закрывать компы своими собственными персональными FireWall-ами (если компов мало, то почему бы и нет?), либо покупать железку, которая это умеет. Железка будет стоить значительно больше, чем 150 баксов! |
|
Вернуться к началу |
|
|
Eldes
Зарегистрирован: 27.11.2011 Сообщения: 4
|
Добавлено: Ср Ноя 30 2011 06:26 Заголовок сообщения: |
|
|
and3008 писал(а): | Имеющейся железкой сделать задуманное не получится. Она этого просто не умеет. Вообще не умеет. Совсем. Полностью. Никак.
Что делать? Либо закрывать компы своими собственными персональными FireWall-ами (если компов мало, то почему бы и нет?), либо покупать железку, которая это умеет. Железка будет стоить значительно больше, чем 150 баксов! |
Я нашел вот такой вариант - DD-WRT. Запарно, и не факт, что будет стабильно работать, но задача решается. Что думаете? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Дек 04 2011 21:13 Заголовок сообщения: |
|
|
Если вы решитесь сменить софт, не убьете при этом железку, правильно потом ее настроите, то все у вас получится. |
|
Вернуться к началу |
|
|
Benzedrin
Зарегистрирован: 04.04.2008 Сообщения: 34 Откуда: Minsk
|
Добавлено: Ср Дек 07 2011 12:27 Заголовок сообщения: |
|
|
У таких устройств при настройке через коммандную строку обычно больше возможностей (баловался с длинком каким-то), просто не все доступно через html-морду... но тут методом проб и ошибок)
еще есть вариант, если есть возможность назначить на какой-либо из портов второй адрес, то сделать сеть с маской /30 и опять маршрутами (или на стороне компа все дропать) |
|
Вернуться к началу |
|
|
|