Доброго времени суток!
Кто сможет подсказать?
Есть такая задача... в моей обычной сети есть пара комерческих клиентов, которых мне хотелось бы изолировать от остальных пользователей, но так как они находятся на одном сегменте с другими пользователями, то кинуть к ним отдельный кабель не выйдет, вот я и подумал, а можно ли поднять впн, но выход в нет по нему давать только определенным пользователям, которым не нужны прочие внутресетевые сервисы, но критична защищенность от всяких внутренних самоучек... Вот скажите, какой рецепт в данном случае будет наиболее простым и в то же время позволит решить указанную проблему...Сервер на freeBSD 4.8, NAT, ipfw,
rl0= внешний интерфейс
rl1= внутренний интерфейс
>Есть такая задача... в моей обычной сети есть пара комерческих клиентов, которых
>мне хотелось бы изолировать от остальных пользователей, но так как они
>находятся на одном сегменте с другими пользователями, то кинуть к ним
>отдельный кабель не выйдет, вот я и подумал, а можно ли
>поднять впн, но выход в нет по нему давать только определенным
>пользователям, которым не нужны прочие внутресетевые сервисы, но критична защищенность от
>всяких внутренних самоучек... Вот скажите, какой рецепт в данном случае будет
>наиболее простым и в то же время позволит решить указанную проблему... ММ/sbin/ipfw add NNNN deny ip from 192.168.0.0/16 to VIP_IP
Только правила по которые описывают работу вип клиентов должны быть перед этим.
>>>
>/sbin/ipfw add NNNN deny ip from 192.168.0.0/16 to VIP_IP
>Только правила по которые описывают работу вип клиентов должны быть перед этим.
>
192.168.10.0/24 - простые клиенты
192.168.10.0/24 - випы
Чего-то я не допонял... по моему это правило закрывает только прохождение пакетов от простых к випам через сервер, но все эти клиенты располежены у меня на одних и тех же проводах... Что помешает простому... прописать "пошире" маску и не получить доступ к випу напрямую...???Меня интересует... прежде всего... как их разграничить vlan -ом. Чтобы трафик от випов до сервера шифровался и соответсвенно, чтобы простые не имели никакой возможности "пробится" к адресам випов... даже если они будут на соседних портах одного хаба...
Вариант
Поднимаешь на итверфейсе что к клиентам алиас.
Основноый адрес для простых клиентов, алиас для других.
Фаерволом закрываешь хождение пакетов между двумя сетями.В одном адресном пространстве никак не запретишь общаться машинам между собой, если только фаерволами на рабочих станциях
>Меня интересует... прежде всего... как их разграничить vlan -ом. Чтобы трафик от
>випов до сервера шифровался и соответсвенно, чтобы простые не имели никакой
>возможности "пробится" к адресам виповhttp://www.google.com.ru/search?q=freebsd+vlan+howto&ie=UTF-...
vlan и vpn это вообще нескольно разные понятия.
Отправлено A Clockwork Orange, 17-Ноя-03 17:33
>Вариант
>Поднимаешь на итверфейсе что к клиентам алиас.
>Основноый адрес для простых клиентов, алиас для других.
>Фаерволом закрываешь хождение пакетов между двумя сетями.
>
>В одном адресном пространстве никак не запретишь общаться машинам между собой, если
>только фаерволами на рабочих станциях
Минус такой задумки только в том, что отбиваться будут только пакеты, которые идут между клиентами ЧЕРЕЗ сервер. Если обращение будет производится напрямую - то ничего не выйдет..
>
>>Меня интересует... прежде всего... как их разграничить vlan -ом. Чтобы трафик от
>>випов до сервера шифровался и соответсвенно, чтобы простые не имели никакой
>>возможности "пробится" к адресам випов
>
>http://www.google.com.ru/search?q=freebsd+vlan+howto&ie=UTF-...
>
>vlan и vpn это вообще нескольно разные понятия.Тогда по крайней мере скажи мне.. что м моем случае может помочь и как в краце это сделать...
Заранее благодарен...
>Отправлено A Clockwork Orange, 17-Ноя-03 17:33
>>Вариант
>>Поднимаешь на итверфейсе что к клиентам алиас.
>>Основноый адрес для простых клиентов, алиас для других.
>>Фаерволом закрываешь хождение пакетов между двумя сетями.
>>
>>В одном адресном пространстве никак не запретишь общаться машинам между собой, если
>>только фаерволами на рабочих станциях
>Минус такой задумки только в том, что отбиваться будут только пакеты, которые
>идут между клиентами ЧЕРЕЗ сервер. Если обращение будет производится напрямую -
>то ничего не выйдет..
Ну ты не прав, как ты не прав... напрямую сети никак не связаны, общение между сетями идут исключительно через маршрутизатор>>
>>>Меня интересует... прежде всего... как их разграничить vlan -ом. Чтобы трафик от
>>>випов до сервера шифровался и соответсвенно, чтобы простые не имели никакой
>>>возможности "пробится" к адресам випов
>>
>>http://www.google.com.ru/search?q=freebsd+vlan+howto&ie=UTF-...
>>
>>vlan и vpn это вообще нескольно разные понятия.
>
>Тогда по крайней мере скажи мне.. что м моем случае может помочь
>и как в краце это сделать...
>Заранее благодарен...А виланом получается аналогично только поднимаешь не алиас а два вилана и ставишь свич поддерживающий виланы, а так как все на одних кабелях то один порт транк на маршрутизатор другой порт для двух виланов одновременно и получаешь две сети
>
>Ну ты не прав, как ты не прав... напрямую сети никак не
>связаны, общение между сетями идут исключительно через маршрутизатор
>
В принципе, если это так, то это то, что мне нужно.. вообщем сегодня попробую...что получится отпишу...
Вот вопрос... , а что собственно получится, если вдруг кто-либо возьмет и пропишет себе адрес из виповской подсети и спокойно начнет обращаться к хосту к випам как к своим?
>Вот вопрос... , а что собственно получится, если вдруг кто-либо возьмет и
>пропишет себе адрес из виповской подсети и спокойно начнет обращаться к
>хосту к випам как к своим?
Кто что думает насчет последнего момента?
Создавай статические таблицы arpПотом от тебя последует вопрос а если начнут mac подменять
Вообщем разделяй сеть физически, свич управляемый кадому пользователю по порту с фиксированным mac статические таблицы, и т.д
>>Вот вопрос... , а что собственно получится, если вдруг кто-либо возьмет и
>>пропишет себе адрес из виповской подсети и спокойно начнет обращаться к
>>хосту к випам как к своим?
>
>
>Кто что думает насчет последнего момента?
Проложить сегмент /30 между раутером и VIP клиентом и заслонить его фаирволом
>
>Проложить сегмент /30 между раутером и VIP клиентом и заслонить его фаирволом
>
Что-то я недопонял по части /30, что это занчит?Кстати, а что насчет маски? Если допустим, я сделаю вип подсеть, в которой у меня 4 клиента и их адреса, например: 192.168.20.2,3,4,5, gateway 192.168.20.1; можно ли в этом случае маской ограничить размер подсети до пяти адресов, то есть, чтобы других бы просто бы несуществовало..
верно ли, что в таком случае, если какой-нибудь кадр поставит себе адрес 192.168.20.6, то достучаться ни до одного из випов не сможет?
>>
>>Проложить сегмент /30 между раутером и VIP клиентом и заслонить его фаирволом
>>
>Что-то я недопонял по части /30, что это занчит?
>
>Кстати, а что насчет маски? Если допустим, я сделаю вип подсеть, в
>которой у меня 4 клиента и их адреса, например: 192.168.20.2,3,4,5, gateway
>192.168.20.1; можно ли в этом случае маской ограничить размер подсети до
>пяти адресов, то есть, чтобы других бы просто бы несуществовало..
>
>верно ли, что в таком случае, если какой-нибудь кадр поставит себе адрес
>192.168.20.6, то достучаться ни до одного из випов не сможет?
Выделяешь минимальную подсеть для 4 лиентов это /29 - 8 адресов
1- ушел на сеть
1-ушел на broadcast
1- ушел на раутер
4 на клиента
остально банишь на уровне arp
arp -s < ip > 0:0:0:0:0:0 pub
>остально банишь на уровне arp
>arp -s < ip > 0:0:0:0:0:0 pubДля очистки совести: правильно ли я понял, что остальные - это один последний оставшийся из тех восьми, что мы выделяли?
вопрос 2: если будет нужно 10 адресов, маска будет /31 или /27
вопрос 3: как обозначить сеть на 8 адресов маской типа 255.255.255..
Спасибо..
Пытаюсь тему поддержать...
>Пытаюсь тему поддержать...Если я тебя правильно понял, то тебе надо сделать vlan'ы и все будет кучеряво.
Для этого тебе понадобиться:
1. свич с поддержкой vlan (например Allied Telesyn AT-8024, D-Link DES-3226 или если много денег есть, то Catalyst - на нем заодно можно будет и порты к MAC-адресам клиентов привязать, чтоб уж совсем не умничали...)2. Сетевая карта с поддержкой vlan под FreeBSD (лично у меня все работало и на обычной rl0 - т.е. людая карта с чипсетом Realtek 8139x, пробовал также еще fxp0).
3. Далее необходимо создать 2 влана на свиче: один для випов, другой для невипов... Например делаем влан для випов с ID 2 и включаем туда порты со 2-го по 10-й. Они должны быть простыми (т.е. untagged). Для невипов делаем влан с ID 3 и включаем туда порты с 11-го по 15-й, также untagged.
Порт в который включается сервер FreeBSD, например 1-й должен входить в оба этих влана, НО УЖЕ КАК tagged (т.е. пакеты проходящие через него, должны маркироваться, к какому влану они принадлежат.4. Настраиваем FreeBSD (пусть это будет интерфейс rl0). Сначала нужно пересобрать ядро с поддержкой vlan. После того как оно заработает....
ifconfig rl0 up
ifconfig vlan0 plumb
ifconfig vlan0 vlan 2 vlandev rl0
ifconfig vlan0 192.168.10.1 netmask 255.255.255.128
ifconfig vlan1 plumb
ifconfig vlan1 vlan 3 vlandev rl0
ifconfig vlan1 192.168.10.129 netmask 255.255.255.128Т.о. мы получим сеть 192.168.10.0/25 для випов подключенных в портах свича со 2-го по 10-й и адресом шлюза для них 192.168.10.1 и сеть 192.168.10.128/25 для невипов подключенных в портах свича с 11-го по 15-й и адресом шлюза для них 192.168.10.129. Т.е. как бы две сети на двух разных интерфейсах (vlan0 для випов и vlan1 для невипов). Далее пакеты между этими сетями смогут ходить только через FreeBSD-роутер. Ну а на нем с помощью ipfw уже можно ограничивать все остальное, например
ipfw deny all from 192.168.10.0/25 to 192.168.10.128/25
т.е. запретить хождение пакетов межу этими сетями... Если поставить ipfw2 то можно вообще на уровне MAC-адресов правила составлять, но это уже на любителя...
>>остально банишь на уровне arp
>>arp -s < ip > 0:0:0:0:0:0 pub
>
>Для очистки совести: правильно ли я понял, что остальные - это один
>последний оставшийся из тех восьми, что мы выделяли?
>
>вопрос 2: если будет нужно 10 адресов, маска будет /31 или /27
>
>
>вопрос 3: как обозначить сеть на 8 адресов маской типа 255.255.255..
>
>Спасибо..1. Так точно
2&3 маска будет 28
начнем с сетевых азов
/30=255.255.255.252=4ip в сегм
/29=255.255.255.248=8ip
/28=255.255.255.224=16ip
..
и т.д
означает кол-во 1ек в маске если см бинарную интертрепацию :-)
Я думаю тот способ будет подешевле чем покупать свитч с поддержкой vlan.
Вообщем я свой вариант предложил. Он работает.
Всем большое человеческое спасибо за ответы... попробую разные варианты, думаю хоть один, но подойдет...
Самый главный вопрос какими средствами собираешься все это делать