Re: Zwei Netzwerkbereiche trennen

To: debian-user-german@lists.debian.org
Subject: Re: Zwei Netzwerkbereiche trennen
From: Ralph Brugger <sitecopy@public.linkpool.de>
Date: Fri, 05 Jan 2007 12:21:30 +0100
Message-id: <[🔎] enlcbo$v2h$1@sea.gmane.org>
In-reply-to: <[🔎] leo174-dt5.ln1@news.muster.dyndns.info>
References: <[🔎] enla1h$nce$1@sea.gmane.org> <[🔎] leo174-dt5.ln1@news.muster.dyndns.info>

Paul Muster schrieb:
> Ralph Brugger schrieb:
> 
>> ich habe eine konzeptionelle Frage:
>>
>> Ich habe hier einen Debian Server der zugleich Router mit iptables für
>> die Clients ist. Die Clients sind über die 1. Netzwerkkarte angebunden
>> an der auch ein WLAN Router hängt. Die Clients greifen über Kabel oder
>> WLAN zu.
> Für den Server sind also alle Clients "hinter" eth0? Ungünstig, denn
> dann kann er nur schwer unterscheiden.

Ja, das ist so. Problem ist zum einen dass auf dem Server kein
Steckplatz mehr verfügbar ist. Gut USB Netzwerkkarte würde auch gehen,
aber dann könnte ich für die Nachbarin kein WLAN anbieten bzw müsste
einen zweiten WLAN Router aufstellen.

>> Neben meinen eigenen Rechnern hängt auch meine Nachbarin mit Kabel und
>> WLAN am Server.
>>
>> Ferner baut der Rechner per OpenVPN Verbindungen zu zwei entfernten
>> Netzen auf.
>>
>> Auf dem Server läuft ein DHCP der statische IP Adressen vergibt.
>>
>> Ich würde nun gerne zwei getrennte Subnetzbereiche definieren.
>>
>> PRIVAT
>> Ein Bereich für meine Rechner. Diese dürfen dann wie gehabt Verbindungen
>> ins Internet, in die entfernten VPNs und auf den Server haben.
>>
>> GAST
>> Für die Rechner meiner Nachbarin würde ich das gerne so definieren, dass
>> hier nur Zugang ins Internet möglich ist.
>>
>> Am liebsten würde ich das mit zwei verschiedenen Subnetzen machen.
>>
>> Derzeit haben die Rechner:
>> Privat: 192.168.240.1...126     [192.168.240.0/25]
>> Gast:   192.168.240.128 ... 254
>>
>> Ist so etwas möglich?
> 
> Ja, durchaus. Allerdings bekommst du keinen Sicherheitsgewinn, weil du
> am Server alle Clients auf einem Kabel, d.h. auf eth0, hast. Ohne VLAN
> (und auch mit VLAN nur eingeschränkt) gibt es da keine wirkliche
> Trennung. Denn niemand kann einen Gast daran hindern, sich
> 192.168.240.100 zu geben/nehmen und dann ggü. dem iptables auf dem
> Server als "Privat" aufzutreten.

Stimmt. Da habe ich (in der Kürze) gar nicht daran gedacht.
Wobei die Sicherheitsfrage nicht so relevant ist, da das
Vertrauensverhältnis schon da ist. Aber dann kann ich es eigentlich auch
 gleich lassen bzw muss keinen solch hohen Aufwand betreiben.

Von daher wäre es wohl sinnvoller ich würde eine weitere Netzwerkkarte
anbinden und dann eben kein WLAN anbieten - wenn die Sicherheit im
Vordergrund steht!

> Du brauchst Trennung auch auf ISO/OSI-Layer 1 und 2, erst dann wird die
> Trennung auf Layer 3 sinnvoll.
> mfG Paul, der dafür de.comp.os.unix.networking.misc für passender hält
> als die Debian-Liste.

OK! Danke für die Hinweise.

Grüße,

Ralph

Reply to:

Follow-Ups:
- Re: Zwei Netzwerkbereiche trennen
  - From: Paul Puschmann <lnx@uzulabs.net>
- Re: Zwei Netzwerkbereiche trennen
  - From: Paul Muster <exp-311207@news.muster.dyndns.info>
- Re: Zwei Netzwerkbereiche trennen
  - From: Heino Tiedemann <rotkaps_spam_trap@gmx.de>

References:
- Zwei Netzwerkbereiche trennen
  - From: Ralph Brugger <sitecopy@public.linkpool.de>
- Re: Zwei Netzwerkbereiche trennen
  - From: Paul Muster <exp-311207@news.muster.dyndns.info>

Prev by Date: Asus WL-167G zum Laufen bringen
Next by Date: Grundsätzliche Frage zu ClamAV
Previous by thread: Re: Zwei Netzwerkbereiche trennen
Next by thread: Re: Zwei Netzwerkbereiche trennen
Index(es):
- Date
- Thread