Netzwerk ausschließen [gelöst]

[michian]

Hallo,

Da steht ein Sarge als Router für ein 192.168.1.x Netz.
Dann gibt es ein Netgear WLAN (WGX102 - Powerline-WLAN Accesspoint/Router), das als Router für das Netz 192.168.0.x fungieren soll und wie folgt eingestellt ist:
LAN-IP ... 192.168.0.1
Standardgateway 192.168.1.1

Beides (192.168.1.x und 192.168.0.xc) hängt physikalisch am gleichen Switch.

Kann ich vermeiden, dass vom Netz 192.168.0.x auf 192.168.1.x zugegriffen werden kann?
Es soll für 192.168.0.x lediglich der Internetzugang über den Sarge-Router zur Verfügung gestellt werden.
Momentan kann ich 192.168.1.x pingen und auch z.B. per \\192.168.1.x auf Sambafreigaben zugreifen (mit \\Host nicht).

Ich befürchte ich bin etwas OT mit dieser Frage, aber vielleicht könnt ihr mir trotzdem helfen.

Vielen Dank!

Michael

[nil]

Code: Alles auswählen

Beides (192.168.1.x und 192.168.0.xc) hängt physikalisch am gleichen Switch. 

alles was am gleichen Switch hängt kann sich auch sehen und gegenseitig nutzen. Hier würde es nur helfen pro Rechner entsprechende Firewallregeln aufzustellen. Vielleicht könntest du noch was mit entsprechenden Subnetting machen, aber Sicherheit gewinnst du dadurch nicht.
Besser wäre eine echte Trennung, die du z.B. durch eine weitere Netzwerkkarte in dem Debian-Rechner herstellen könnte, wenn ich das Netz richtig verstanden habe. Die Netze 192.168.0.0/24 und 192.168.1.0/24 wären dann duch den Debian-Rechner getrennt.

[michian]

Besser wäre eine echte Trennung, die du z.B. durch eine weitere Netzwerkkarte in dem Debian-Rechner herstellen könnte, wenn ich das Netz richtig verstanden habe. Die Netze 192.168.0.0/24 und 192.168.1.0/24 wären dann duch den Debian-Rechner getrennt.

Danke! Ich habe es mir gedacht.

Michael

[michian]

... momentan habe ich ein einfaches iptables - Firewall-Script.

Angenommen ich würde nun für 192.168.0.x eine dritte Karte einbauen, was wäre dann wohl der einfachst Weg für:
- volles Internetnutzung für 192.168.0.x
- aber nix Router und nix 192.168.1.x - Netz

Danke!

Michael

[herrchen]

... momentan habe ich ein einfaches iptables - Firewall-Script.

ja, und?
was geht damit nicht?

Angenommen ich würde nun für 192.168.0.x eine dritte Karte einbauen,

deine infos sind recht unvollständig. ich habe schon an deinem ersten posting einiges nicht verstanden:

Dann gibt es ein Netgear WLAN (WGX102 - Powerline-WLAN Accesspoint/Router), das als Router für das Netz 192.168.0.x fungieren soll und wie folgt eingestellt ist:
LAN-IP ... 192.168.0.1
Standardgateway 192.168.1.1

ein GW in einem anderen netz?

Beides (192.168.1.x und 192.168.0.xc) hängt physikalisch am gleichen Switch.

das ist doch kein problem.

Kann ich vermeiden, dass vom Netz 192.168.0.x auf 192.168.1.x zugegriffen werden kann?

so, wie du deinen netzaufbau bisher beschrieben hast, kann man das nicht.

Es soll für 192.168.0.x lediglich der Internetzugang über den Sarge-Router zur Verfügung gestellt werden

bisher hast du noch gar nicht beschrieben, wie der Debianrechner ins spiel kommt.

Angenommen ich würde nun für 192.168.0.x eine dritte Karte einbauen,

ich vermute du hast bisher zwei IPs an einen NIC?

was wäre dann wohl der einfachst Weg für:
- volles Internetnutzung für 192.168.0.x

das routing einschalten.

- aber nix Router und nix 192.168.1.x - Netz

das beisst sich. das routing wird schon benötigt, da du ja wohl noch einen NIC hast, der am internet hängt.

du musst also -mittels paketfilter- die erwünschten zugriffe erlauben und den rest verwerfen.

hier ist auch mein verständnisproblem:
du schrebst doch von einem iptables script ...

herrchen

[michian]

Angenommen ich würde nun für 192.168.0.x eine dritte Karte einbauen,

deine infos sind recht unvollständig. ich habe schon an deinem ersten posting einiges nicht verstanden:

Ich habe momentan 1 Sarge-Rechner der als Router zwischen 192.168.1.x und dem Internet über DSL dient.
Ich möchte ein zweites privates Netz einrichten (192.168.0.x), dass über eben diesen Router auch ins Internet darf, aber von dem aus man nicht auf 192.168.1.x zugreifen darf und auch nicht auf andere Dienste am Router (z.B. Samba, ...).

Wenn ich nun mein bestehendes Script

Code: Alles auswählen

EXTERN=eth1
INTERN=eth0

iptables -A INPUT -i $EXTERN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INTERN -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o $EXTERN -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

so ändere:

Code: Alles auswählen

EXTERN=eth1
INTERN=eth0
INTERN1=eth2

iptables -A INPUT -i $EXTERN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INTERN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INTERN1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o $EXTERN -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

bin ich dann komplett am Holzweg oder passt das?

Danke!

Michael

[herrchen]

Code: Alles auswählen

iptables -A INPUT -i $EXTERN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INTERN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INTERN1 -m state --state ESTABLISHED,RELATED -j ACCEPT

du kannst in dem fall das interface weglassen, dann hast du nur eine regel.

bin ich dann komplett am Holzweg oder passt das?

mir fehlt die stelle, an der irgend etwas verboten wird.
auf meine anmerkungen aus dem vorherigen post bist du auch nicht eingegangen.

herrchen

[michian]

mir fehlt die stelle, an der irgend etwas verboten wird.

herrchen

da das ganze nicht so sensibel ist, werde ich nun doch beide netzwerke an den switch hängen und am router das netzwerk 192.168.0.x mit

Code: Alles auswählen

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --source 192.168.0.0/24 -j DROP
iptables -A INPUT -i eth0 -p UDP --source 192.168.0.0/24 -j DROP

ausschließen.
darf ich noch fragen ob das so passt?
ich möchte damit erreichen, dass das netzwerk 192.168.0.x nicht auf dienste am router/server zugreifen darf.
alles andere was von "innen" kommt bleibt erlaubt.

vielen danke!

michael

[herrchen]

Code: Alles auswählen

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --source 192.168.0.0/24 -j DROP
iptables -A INPUT -i eth0 -p UDP --source 192.168.0.0/24 -j DROP

ausschließen.
darf ich noch fragen ob das so passt?

ja, es passt nicht.
die "DROP" regeln werden nie zum tragen kommen, da vorher das "ACCEPT" zieht.

herrchen

[michian]

ja, es passt nicht.
die "DROP" regeln werden nie zum tragen kommen, da vorher das "ACCEPT" zieht.

herrchen

Verdammt, die nehmen das aber genau
Jetzt geht's!

Danke!!

Michael

[diedl2003]

Falls ich das richtig verstehe und du alles hosts an einem switch hast der nicht per VLANs unterteilt ist hat man nach wie vor die Möglichkeit, auf das andere Netzwerk zu kommen. Indem man die IP Adresse eines Hosts der vorher 192.168.0.x hatte eine Adresse 192.168.1.x mit der Hand gibt und nicht den router benutzt...Nur so als Hinweis. Du müsstest
zumindest auf MAC Ebene filtern, was es aber auch nicht richtig sicher macht.

Gruß

[michian]

Nur so als Hinweis. Du müsstest
zumindest auf MAC Ebene filtern, was es aber auch nicht richtig sicher macht.

Gruß

Vielen Dank für den Hinweis!
Aber so sensibel ist es hier nicht.
Ich habe nun den Zugriff auf den Server (Sarge) auf die tatsächlich Berechtigten beschränkt und Datei- und Druckerfreigabe auf den Windowsclients deaktiviert.
Das sollte als "Sicherheit" für die Anforderung hier ausreichen.

Nochmal Danke für eure Hilfe!

Michael

[diedl2003]

War auch nicht ganz präzise, du müsstest auf den Clients noch filtern..