Изоляция LAN, но не всей

Описание каждой версии, обсуждение особенностей и недостатков
Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Всем доброго времени суток! Есть задумка, но не знаю как грамотно реализовать.
Ситуация:
Имеется dhcp server на MT. Раздает сеть 10.0.0.0/16. Внутренний адрес MT для данной сети 10.0.0.1. Естественно для этой же сети он и является шлюзом.

Задумка: Закрыть какую либо коммуникацию с интернетом для сети 10.0.0.0/16. Однако создать ещё один шлюз, например 10.0.200.1, через который смогут выходить в интернет те, кому он будет прислан из dhcp.

Вопрос:
Как это реализовать правильно и грамотно? И возможно ли такое вообще в рамках одного MT?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Так сходу не выглядит, как что-то невозможное.
Даже если повесить оба шлюза на один интерфейс.


Telegram: @thexvo
Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

xvo писал(а): 03 июл 2020, 12:48 Даже если повесить оба шлюза на один интерфейс.
Пробовал. Не получилось. Возможно я что-то не так делал. Получается только при условии разных масок сети. Однако вся сложность и заключается, что маска одна и таже. Думал еще через Route реализовать, но покачто изучаю документацию на эту тему и на тестовом стенде не получается.


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Сейчас задумался немного... и вот. Тотже вопрос, но с другого ракурса. А как можно запретить роутинг за роутер по шлюзу 10.0.0.1?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А что значит не получается?

По шлюзу не запретишь, по крайней мере мне сходу в голову не приходит механизма, как это сделать.

И вообще, я подумал, наверное на одном интерфейсе в этом вообще смысла нет - и так и так придется запрещать/разрешать на основе адреса источника, так а зачем тогда разные шлюзы?

Просто одним адресам разрешаете выход, другим - нет.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Собственно так и надо делать:
1) Запрещаете хождение наружу всей подсети 10.0.0.1/16 кроме адресов из адрес-листа.
2) Указываете кому надо в DHCP в статических записях, что их добавлять в этот лист.

И все.


Telegram: @thexvo
Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Поправьте если ошибаюсь. Достаточно ли будет создать адрес лист White и указать его в НАТе в правило маскарадинг как Src.Address List?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну в теории то так конечно работать у всех, кроме списка white, не будет, но только NAT это не средство запрещения/резрешения.
И все попытки выйти наружу, которые непромаскарадятся, просто будут улетать к провайдеру с вашими внутренними адресами.

Так что маскарад оставьте в покое, а менять вам надо что-то в firewall'е.


Telegram: @thexvo
Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

И тем не менее. Есть ли возможность как-то абстрагировать сеть или шлюз? Так сказать изолировать сеть в целом, за исключением пары адресов. При работе с фаерволом, у меня включается паранойя, хочется какую-то "защиту от дурака". Чтобы даже случайно не удалить правило или случайно не перекрыть его другим.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Можно использовать Route -> Rules если не нравится firewall.
В соседней теме ровно таким образом у человека подсети друг от друга изолированы:
viewtopic.php?f=1&t=11788.

Можете попробовать основной подсети вообще никакого шлюза не отдавать.

Но вообще сама идея запрещать выход на основании знания где шлюз, без фильтрации, она странная: а если кто-то просто руками пропишет себе правильный адрес шлюза?


Telegram: @thexvo
Ответить