Доступ к устройству с другой подсети.

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Ответить
polparker82
Сообщения: 14
Зарегистрирован: 26 июн 2017, 15:49

Такой вопрос.
1 порт ВАН
2 порт сеть 192.168.1.0/24
5 порт сеть 192.168.5.0/24
В правилах настроено что сети не видят друг друга для безопасности.
Такая ситуация, припустим в сети 192.168.1.0/24 под адресом 192.168.1.155 находится некое общее устройство (ІР камера, сетевой принтер) доступ к которому нужен с сети 192.168.5.0/24 и только для адреса 192.168.5.10
Подскажите как организовать?
Искал по инетах но немного не то. Обычно просто объединение сетей.
Спасибо.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ищите, здесь vqd на форуме делал подробный разбор подобных случаев. Очень информативный пост. Сам иногда натыкаюсь в ссылках, перечитываю с удовольствием)))


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

polparker82 писал(а):Такой вопрос.
1 порт ВАН
2 порт сеть 192.168.1.0/24
5 порт сеть 192.168.5.0/24
В правилах настроено что сети не видят друг друга для безопасности.
Такая ситуация, припустим в сети 192.168.1.0/24 под адресом 192.168.1.155 находится некое общее устройство (ІР камера, сетевой принтер) доступ к которому нужен с сети 192.168.5.0/24 и только для адреса 192.168.5.10
Подскажите как организовать?
Искал по инетах но немного не то. Обычно просто объединение сетей.
Спасибо.


В правилах чего? Файрвола? Роутинга?

Если роутинга - то перед запретом локап маршрута ставите два правила с указанными адресами /32 в обе стороны с лоокап

Если в файрволе - то два правила соответственно (либо адрес лист какие компы должны друг друга видеть) - с чейн форвард и экшен аццепт


polparker82
Сообщения: 14
Зарегистрирован: 26 июн 2017, 15:49

enzain писал(а):В правилах чего? Файрвола? Роутинга?
Если роутинга - то перед запретом локап маршрута ставите два правила с указанными адресами /32 в обе стороны с лоокап
Если в файрволе - то два правила соответственно (либо адрес лист какие компы должны друг друга видеть) - с чейн форвард и экшен аццепт

у меня в правилах роутинга уже unreachable эти сети.
Будут ли при этом работать правила файрвола?
По совету товарища выше нашел вот такой мануал, подойдет ли?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

polparker82 писал(а):
enzain писал(а):В правилах чего? Файрвола? Роутинга?
Если роутинга - то перед запретом локап маршрута ставите два правила с указанными адресами /32 в обе стороны с лоокап
Если в файрволе - то два правила соответственно (либо адрес лист какие компы должны друг друга видеть) - с чейн форвард и экшен аццепт

у меня в правилах роутинга уже unreachable эти сети.
Будут ли при этом работать правила файрвола?
По совету товарища выше нашел вот такой мануал, подойдет ли?



перед правилами unreachable вставте два правила в обе стороны с лоокапом. Тогда файрвол не надо трогать.

Но разруливать так доступность подсетей не правильно. Лучше таки файрволом. И да, то что вы нашли - подойдет, главное прочитать всё, и понять (при этом от правил в роутинге - избавиться нужно)


polparker82
Сообщения: 14
Зарегистрирован: 26 июн 2017, 15:49

enzain писал(а):(при этом от правил в роутинге - избавиться нужно)

ага, значит правила в роутинге приоритетные?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

polparker82 писал(а):
enzain писал(а):(при этом от правил в роутинге - избавиться нужно)

ага, значит правила в роутинге приоритетные?



Это правила для разных задач ...

В файрволе вы разрешаете или не разрешаете пакетам от А до Б бегать, а в правилах роутинга вы говорите что маршрута в сеть назначения роутер не знает. Как бы пакетам идти то можно... но маршрута нет ...
Вы же по факту пытаетесь запретить форвард пакетов. Зачем при этом ломать маршрутизацию? пусть микр знает что маршрут есть, просто пакетам ходить нельзя


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

ТС: читать очень внимательно здесь viewtopic.php?f=15&t=6572


Ответить