Oddělení klientů sítě, aby měli pouze internet

Oddělení klientů sítě, aby měli pouze internet
« kdy: 04. 03. 2020, 15:16:15 »
Jakým pravidlem do firewallu iptables nebo PF lze docílit, že klienti připojení jedním síťovým rozhraním (wifi v režimu hostapd  / nebo kabelový switch) o sobě nebudou vědět a budou izolovaní a půjde jim pouze přístup na internet (druhé síťové rozhraní - gateway) a volitelně například na lokální http server na daném stroji.
A Druhá varianta : aby s sebou mohli komunikovat pouze na konkrétním portu, když si vymyslím netypický příklad, aby klienti mohli přistupovat si na své http servery na portu 80 ale nemohli  sdílet soubory (Samba CIFS, tuším že porty 139, 465 a pár dalších)
« Poslední změna: 04. 03. 2020, 19:53:35 od Petr Krčmář »


Re:Jak oddělit klienty(wifi)sítě,aby šel pouze internet.
« Odpověď #1 kdy: 04. 03. 2020, 15:29:08 »
Hledáš VLAN a firewall pravidla mezi nimi.

5nik

  • ***
  • 133
    • Zobrazit profil
    • E-mail
Re:Jak oddělit klienty(wifi)sítě,aby šel pouze internet.
« Odpověď #2 kdy: 04. 03. 2020, 16:00:59 »
Jestli jsem to správně pochopil, tak prvně potřebuješ AP nebo switch, který ti bude veškerý provoz (i v rámci lokální sítě) posílat na router. Konkrétně potřebuješ, aby switch / AP umělo port / klient isolation. Pak můžeš teprve něco na routeru filtrovat. A obávám se, že jenom pomocí iptables to nejspíše nepůjde (leda v promisc. režimu), pravděpodobně budeš muset udělat nad fyzickým rozhraním bridge a filtrovat pomocí ebtables. Ale už jsem dlouho na linuxu nesíťoval, snad mne někdo doplní / opraví.
A nebo chytrý switch s podporou ACL, případně jiným filtrováním a filtrování v rámci lokální sítě nechat na něm.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Jak oddělit klienty(wifi)sítě,aby šel pouze internet.
« Odpověď #3 kdy: 04. 03. 2020, 16:26:30 »
Hledáš VLAN a firewall pravidla mezi nimi.
On chce oddělit i klienty na jedné wifi mezi sebou, takže to s VLAN podle mě nepůjde. Ale na tom switchi je to jedna z možností řešení, dá každý port do speciální VLAN a na server si natáhne trunk a bude to řešit softwarově. Výhoda je, že stačí libovolný levný switch s podporou VLAN, nevýhoda je, že všechno jde přes server a tedy to bude mít trochu horší propustnost.

Jak se již píše, asi to chce ebtables.

Re:Jak oddělit klienty(wifi)sítě,aby šel pouze internet.
« Odpověď #4 kdy: 04. 03. 2020, 17:46:49 »
Oddělit místní síť od veřejné sítě je opravdu nejlepší přes VLAN. Nejjednodušeji přes různá SSID - jedno pro zaměstnance, kteří mohou vidět mezi sebou a na zbytek sítě. Druhá VLAN a SSID pro hosty, aniž by mohli vidět mezi sebou a kamkoliv jinam.

Ve FreeBSD v ifconfigu nastavíte -apbridge, v tu chvíli se packety dostanou do PF. Pokud nastavíte naopak apbridge (bez minusu), tak na sebe budou vidět a nebude provoz otravovat PF.