Re: Zwei Netzwerkbereiche trennen
Ralph Brugger schrieb:
> ich habe eine konzeptionelle Frage:
>
> Ich habe hier einen Debian Server der zugleich Router mit iptables für
> die Clients ist. Die Clients sind über die 1. Netzwerkkarte angebunden
> an der auch ein WLAN Router hängt. Die Clients greifen über Kabel oder
> WLAN zu.
Für den Server sind also alle Clients "hinter" eth0? Ungünstig, denn
dann kann er nur schwer unterscheiden.
> Neben meinen eigenen Rechnern hängt auch meine Nachbarin mit Kabel und
> WLAN am Server.
>
> Ferner baut der Rechner per OpenVPN Verbindungen zu zwei entfernten
> Netzen auf.
>
> Auf dem Server läuft ein DHCP der statische IP Adressen vergibt.
>
> Ich würde nun gerne zwei getrennte Subnetzbereiche definieren.
>
> PRIVAT
> Ein Bereich für meine Rechner. Diese dürfen dann wie gehabt Verbindungen
> ins Internet, in die entfernten VPNs und auf den Server haben.
>
> GAST
> Für die Rechner meiner Nachbarin würde ich das gerne so definieren, dass
> hier nur Zugang ins Internet möglich ist.
>
> Am liebsten würde ich das mit zwei verschiedenen Subnetzen machen.
>
> Derzeit haben die Rechner:
> Privat: 192.168.240.1...126 [192.168.240.0/25]
> Gast: 192.168.240.128 ... 254
>
> Ist so etwas möglich?
Ja, durchaus. Allerdings bekommst du keinen Sicherheitsgewinn, weil du
am Server alle Clients auf einem Kabel, d.h. auf eth0, hast. Ohne VLAN
(und auch mit VLAN nur eingeschränkt) gibt es da keine wirkliche
Trennung. Denn niemand kann einen Gast daran hindern, sich
192.168.240.100 zu geben/nehmen und dann ggü. dem iptables auf dem
Server als "Privat" aufzutreten.
Du brauchst Trennung auch auf ISO/OSI-Layer 1 und 2, erst dann wird die
Trennung auf Layer 3 sinnvoll.
mfG Paul, der dafür de.comp.os.unix.networking.misc für passender hält
als die Debian-Liste.
Reply to: