Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Hokyjack 17. 09. 2010, 19:42:26
-
Dobrý den,
Potřeboval bych poradit. Máme domácí síť kde je Wifi-router do kterého jde internet. Potřeboval bych nějak jednoduše (například pomocí switche, nebo dalšího routeru) vytvořit ještě jednu novou síť, se stejným internetovým připojením, avšak nesmí jinak nic mít společného s domácí sítí (prostě aby se na domácí síť nedalo přistupovat z té druhé sítě). Je nějaká jednoduchá možnost jak toho docílit? Předem děkuji za odpovědi a tipy.
-
Dobrý den,
Potřeboval bych poradit. Máme domácí síť kde je Wifi-router do kterého jde internet. Potřeboval bych nějak jednoduše (například pomocí switche, nebo dalšího routeru) vytvořit ještě jednu novou síť, se stejným internetovým připojením, avšak nesmí jinak nic mít společného s domácí sítí (prostě aby se na domácí síť nedalo přistupovat z té druhé sítě). Je nějaká jednoduchá možnost jak toho docílit? Předem děkuji za odpovědi a tipy.
Router, který bude routovat mezi domácí sítí (ze které je přístup na Internet) a novou sítí, ale bude zahazovat všechny pakety, které mají jako cílovou adresu nějaký počítač z domácí sítě.
Tj. například ip6tables -A INPUT -d rozsah:domácí:sítě:kterou:chceš:chránit/64 -j DROP
-
Díky za odpověď. Ale mohl by jsi prosím napsat postup jak to mám udělat? a jde to udělat s jakýmkoli standardním routrem? Díky
-
uplne najlahsie sa to da tak ze dlasiu siet vytvoris dalsim routrom (pichnes z LAN stavajuceho routra do WAN noveho routra) tak budu uzivatelia routra 2 izolovany od routra 1.
Alebo sa mylim?
-
Varianta 1: Pokud máš vhodný switch lze oddělit i LAN od WiFi, případně dokonce rozdělit přímo porty na switchi. Koukni na http://wiki.openwrt.org/oldwiki/openwrtdocs/kamikazeconfiguration/nonbridgedwifi a http://wiki.openwrt.org/doc/howto/dmz
Varianta 2: Mato Rachela nemá úplně pravdu. Aby byly sítě úplně oddělené potřebuješ další dva routery s firewallem. S jedním dosáhneš pouze toho že, síť za druhým firewalem uvidí síť za prvním, ale naopak ne.
-
Takže jestli to chápu správně: Budu mít třeba síť (1) domácí síť a síť (2) druhou novou síť, a potom router [1] - WiFi router a router [2] - druhej router. Internet půjde do routeru [2] kde se kabeli budou rozdvojovat jeden půjde do WiFi routeru [1] (domácí síť) a druhý kabel půjde napr jeste do nejakyho switche kde potom bude druhá síť. Stačí mi aby druhá síť neviděla na domácí síť (za WiFi router [1]) půjde to takhle?
-
Mna skor napada moznost routra, ktory dokaze riesit aj DMZ. Domaca siet by bola v secure sieti, druha siet v DMZ a wan je jasny. Tieto routre uz maju moznost nastavenia filtrovacich pravidiel.
Jeden router na oddelenie dvoch samostatnych sieti postacuje.
Co tak vyskusat na testnutie softwerovy router pfSense a PC s tromi interfaceami? ;)
-
Stačí i jeden router s podporou iptables nebo routovacích pravidel (např. libovolnej, kam se dá dát dd-wrt firmware). DMZ stačí taky, ale tam půjde z domácí se dostat na tu oddělenou, pokud to nevadí, tak je to nejjednodušší cesta (za DMZ píchnout switch).
Další velmi jednoduchá cesta je dát druhou síť normálně na router a domácí síť za další router s NATem.
- INET - druha
- druha
- router - domaci
- domaci
- domaci
-
uplne najlahsie sa to da tak ze dlasiu siet vytvoris dalsim routrom (pichnes z LAN stavajuceho routra do WAN noveho routra) tak budu uzivatelia routra 2 izolovany od routra 1.
Alebo sa mylim?
Ano, mýlíš. Router je jaksi od toho, aby routoval. Proto bude routovat všechen provoz, který mu přijde. Takže pro dosažení výsledku musíš přidat do firewallu pravidlo, které jsem napsal výše.
-
Díky za odpověď. Ale mohl by jsi prosím napsat postup jak to mám udělat? a jde to udělat s jakýmkoli standardním routrem? Díky
Zrovna ten můj příklad byl na Linux. Ale ano, šlo by to s libovolným routerem, který umožňuje nastavit firewall.
-
Takže jestli to chápu správně: Budu mít třeba síť (1) domácí síť a síť (2) druhou novou síť, a potom router [1] - WiFi router a router [2] - druhej router. Internet půjde do routeru [2] kde se kabeli budou rozdvojovat jeden půjde do WiFi routeru [1] (domácí síť) a druhý kabel půjde napr jeste do nejakyho switche kde potom bude druhá síť. Stačí mi aby druhá síť neviděla na domácí síť (za WiFi router [1]) půjde to takhle?
Ne, ještě musíš na tom routeru, který routuje pro druhou síť, zablokovat komunikaci do první sítě.
-
Stačí i jeden router s podporou iptables nebo routovacích pravidel (např. libovolnej, kam se dá dát dd-wrt firmware). DMZ stačí taky, ale tam půjde z domácí se dostat na tu oddělenou, pokud to nevadí, tak je to nejjednodušší cesta (za DMZ píchnout switch).
Další velmi jednoduchá cesta je dát druhou síť normálně na router a domácí síť za další router s NATem.
- INET - druha
- druha
- router - domaci
- domaci
- domaci
NAT není firewall a navíc přináší spoustu dalších problémů. Takže bez toho firewallu se stejně neobejdeš.
-
NAT není firewall, ale snad každej router s NAT zahazuje pakett z venku na zevnitř neotevřenej port, což naprosto stačí. Myslim, že tazateli stačí praktickej návod jak na to a kam plácnout tu krabičku a nechce se vyžívat v teoretickejch detailech a nuancích terminologie.
NAT s sebou samozřejmě nese nepřijemnosti, ale pokud tam už jeden nat mít budou - a to tak má drtivá většina lidí, tak už je to jedno... A narozdíl od IPtables to umí nastavit i úplný kopyto :-)
PS: Tazateli se omlouvám za případný podceňování :-)