LINUX.ORG.RU
ФорумAdmin

NAT как заблокировать доступ клиентских машин друг к другу


0

0

Собственно организован NAT два сетевых интерфейса eth0 WAN и eth1 LAN. Клиенты получают адреса от DHCP сервера в виде 192.168.0.x

Каким образом можно полностью заблокировать доступ клиентских машин друг к другу, чтобы скажем 192.168.0.2 и 192.168.0.3 не имели доступа друг к другу?

Re: NAT как заблокировать доступ клиентских машин друг к другу

для начала поместить клиентов в разные физические сети

alexsaa ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

Купить управляемый свич с поддержкой vlan или если клиентов немного, понатыкать в роутер сетевух и воткнуть каждого в свою сетевуху.

INFOMAN ★★★★★ ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

на роутере никак, потому-что клиенты у тебя находяться в однойм l2 сегменте.
можно тоьлко посадить их на умный свитч, где и огроничивать доступ port-security.

chocholl ★★ ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

Да нет вот как раз вариант с умным свичем не катит потому как часть клиентов WiFi, а часть по кабелю, как вариант по vlan раскидать насколько я понимаю подходит только если скажем на один порт каталиста по юзеру (провода), а если клиенты WiFi то не выходит... так как на одной точке может 100 чел сидеть... и все на одном порту на свиче...

branicki ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

WiFi-роутер должен понимать vlan'ы и тегированный трафик, "умное железо" самый Ъ вариант, так что кури маны по настройке таких сетей.

gnomino ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

дак вот в качестве роутера будет сервак с Linux.... в какую сторону то курить? IPtables это можно сделать? запретить ходить LAN клиентам по внутренней сети?

branicki ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

> в какую сторону то курить?

В сторону виланов на Linux.

Тебе надо на рутере (он же всех в интернет выпускает?) наделать виланов, в т.ч. и на Wi-Fi и засунуть в них каждого клиента. На свиче эти виланы разделать под каждый порт.

Это долго и муторно (и я точно не знаю как), лучше использовать умное железо, как посоветовали выше.

Deleted ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

>Тебе надо на рутере (он же всех в интернет выпускает?) наделать
>виланов,

ну да такая схема может быть... но как ее применить касательно WiFi, у меня на точках (Cisco 1200) можно сделать два vlan например:

VLAN1: сама точка Ethernet port.
VLAN2: SSID точки, радио порт... и все юзеры кто садятся на этот SSID получаются в одном вилане.

к томуже если юзеров будет например тысяча в сети или две тысячи? мне кажется городить виланы немного не правильно.

на аппаратных роутерах типа Nomadix есть просто пункт в меню типа (Subscriber to Subscriber block) и все юзеры подключенные на один его порт находящиеся в одном вилане не могут видеть друг друга.

поэтому наводит на мысль что тут решение есть на уровне файервола...

branicki ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

Дак вроде на Cisco 1200 (если это Aironet) есть Access List'ы, может ими и порубить трафик (разрешить только ip-сервера...

>поэтому наводит на мысль что тут решение есть на уровне файервола...

Если вы сможете заставить траффик от пользователя к пользователю идити через роутер, то решение на уровне файервола есть, но как я понял у вас трафик от пользователя к пользователю обрабатывается самим свичем, в роутер он не попадает.

mky ★★★★★ ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

> Если вы сможете заставить траффик от пользователя к пользователю идити через роутер, то решение на уровне файервола есть, но как я понял у вас трафик от пользователя к пользователю обрабатывается самим свичем, в роутер он не попадает.

Некоторые провайдеры делают через pppoe, т.е. попробовать vpn

ilnurathome ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

Умное железо и RADIUS-Server -- решение проблемы.

точка доступа с поддержкой RADIUS + свич с такой же поддержкой + централизованное WPA-шифрование.

Dark_Sarmat ()

Re: NAT как заблокировать доступ клиентских машин друг к другу

>Дак вроде на Cisco 1200 (если это Aironet) есть Access List'ы, может >ими и порубить трафик (разрешить только ip-сервера...

Супер! спасибо за решение!! порезал на каталисте все!! заработало! :-)

branicki ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.