Přístupy, DHCP vs. porty + trunk

xmagicx

Ahoj,

Jak nejelegantněji a nejčistěji zablokovat přístup z Guest VLANy na všechny brány na MT? Mám na portech VLAN1 a VLAN2, a v jednom modem (DHCP klient). Každá VLAN má svůj DHCP server na MT.

v NAT mám aktivní masquerade (jinak nic) a do firewall jsem dal : forfard z IN VLAN1 na !ethernet1 (modem) DROP , funguje tak, že když komunikuji kamkoliv jinam, tak to zahodí, u druhé VLAN je pravidlo totožné.

Ovšem v tomto stavu mě pustí na bránu, tzn MT. Dal jsem tedy pravidlo, aby veškerou komunikaci na bránu v daném rozsahu, např 192.168.1.1 zahodil. Což funguje, ale dostane zase na bránu druhé sítě (2.1) a pak přidělenou od modemu, třeba 172.55, atd, v podstatě na všechny vstupy do MT.

Jde toto nějak globálně ošetřit, aby uživatel z VLAN1 se dostal jen na modem a ven do netu a nikam jinam a zase ve VLAN2 třeba všude?

Děkuji

mirek_k

Ano, na vlastní router to je obdobné pravidlo, jen v chainu Input namísto Forward.

Mirek

xmagicx

to vím, však ho tak mám, otázka zní, jestli je nutné vypisovat všechny / IP portů na MT, nebo je na to nějaké obecnější pravidlo. Protože v tomto případě, když router dostane ze sítě jinou IP na jeho "WAN" rozhraní, tak už pravidlo blokace nebude aktivní.

mirek_k

A že ses nezmínil o Input pravidle. To se pak těžko účinně radí, když dáš jen polovinu informací.

V tomto případě bych vyplňoval jen Source rozhraní.

xmagicx

ah, já jsem vůl :)

hledal jsem zbytečné složitosti, a mezitím stačí jen Chain : input, In. int : VLANx a Action Drop, :)

díky za nakopnutí

----

prozradí mi někdo ještě přesnou funkci "maškarády"? Děkuji

xmagicx

ještě bych měl jeden dotaz.

Chci port 3 jako VLAN2

port 4 jako VLAN5

a port 5 TRUNK na switch , kde bude VLAN 2,5,

Na MT chci provozovat DHCP server aby přiděloval IP v rámci VLANy, tzn 2 sítě. V portech přímo na MT mi chodí, ale nevím, jak docílit toho aby komunikace putovala po portu 5 do switche, kde budou další VLANy a tam v rámci portů byly přidělovány IP z MT.

Díky

xmagicx

udělal jsem to následovně.

Založil jsem si 2x Bridge BV2 a BV5

BV2 přidělil port 3

BV5 port 4

pak jsem založil VLAN2(ID2) na BV2 a VLAN5(ID5) na BV5

následně jsem udělal VLAN2_sw (ID2) na port5 a stejně tak VLAN5_sw (ID5) na tentýž port

následně jsem v Brigde / portech přidal VLAN2_sw přiřadil k BV2 a VLAN5_sw k BV5

DHCP server je založen na rozsah 192.168.1.xxx pro BV2 , a 192.168.2.xxx pro BV5

bude mi to takto fungovat, aby následně v rámci switche (mng) připojeném na portu 5 fungovalo DHCP v rámci nadefinovaných VLAN vs. portů.

Děkuji