Chtěl bych vědět, jak prakticky na linuxovém stroji vytvořím subsíť, která bude mít určité vlasnosti z nadřazené sítě. S možností přístupu na internet přes bránu, ale bez komunikace mezi jednotlivými sítěmi)
Začnu popisem nadřazené sítě: je to 192.168.0.0/16 s bránou a DHCP 192.168.1.1 a . Tu mohou využívat, ale nemohu ji konfigurovat.
Do té sítě jsem připojen přes první rozhraní a do vnitřní sítě přes druhé rozhraní.
Chci udělat to, aby zařízením z vnitřní sítě byla přidělována IP z pod-rozsahu, tedy 192.168.200.xxx/24. (to by jim zařídil zde běžící DHCP server, který ale nějakým způsobem bude muset spolupracovat s DHCP původní sítě) Zároveň aby zařízení z vnější sítě nemohly komunikovat s vnitřní sítí (kromě brány) a zařízení z vnitřní sítě se nemohly napojit na vnější nadřazenou síť (kromě brány a na internet ale ano). Chtěl bych to bez natu (ano vím, že nařazená síť NAT určitě používá).
Samozřejmě to jde zprovoznit tak NATovaně (1:N - PNAT - překlad portů i adres), že dhcp klient na vnějším rozhraní si vezme 192.168.xxx.xxx a na vnitřním pojede DHCP server třeba 172.16.0.xxx, a oba budou oddělené. a samozřejmě se přidá pravidlo do iptables (-t nat - A POSTROUTING -i in0 -o out0 -j MASQ.)
Zajímá mě druhé (vlastně jediné)alternativní řešení a SICE 1:1 natem (defacto jen NAT, pouze překlad adres) s tím, že by vnitřní síť byla třeba 172.16.
Podmínka je, aby to fungovalo bez žádné konfigurace klientských PC (ty se ostatně stejně budou připojovat na vnitřní rozhraní.
To taky vylučuje, že by se tedy klienti připojovaly rovnou do vnější sítě.
Taky jsem zavrhl vytvoření bridge. Má někdo názor, že by to bylas chůdná cesta (ale muselo by se dát hodně pravidel to ebtables, jestli to nazývám správně) ?
Dál bych se chtěl zeptat, zda k tomu budou potřeba věci jako
- IP Scope (to je co zač? neříká to, že adresa je platná jen v rámci rozhraní, to by umožnilo mít 2 různé sítě např 192.168/16, který by ale spolu nemluvily, neboť by jejich hranice končila rozhraním ; nebo scope global či jiný?)
- DHCP relay (pro to a aby stroj mohl dělat ty kouzla s DHCP, že se bude snažit u nadřazeného DHCP vyjednat 192.168.200.xxx, ale klientům posílat zůženou masku sítě /24 místo /16 a )
- je potřeba dávat do iptables nějaká pravidla, nebo definice sítí je dostatečná, aby zařízení o existenci nadřazené sítě neměly páru (to koliduje s adresou brány) a zároveň ,aby zařízení z nadřazené sítě kromě brány nemohly komunikovat s mojí sítí?
- nazývá se toto podsíť/ subnet?