Два сегмента сети и один канал инета

для начала нормально объяснить ситуацию. Если у тебя линуксовый сервак в качестве гейта - то я не верю что ты просмотрел форум (подсказка - вверху справа кнопка поиск, там можно сделать «поиск по темам» по словам «две сети»).

Если у тебя роутер в железе - модель. Еще неплохо бы знать какие права доступа откуда и куда тебе нужны

и еще - я это всегда советую и видимо всегда буду. Нарисуй карту сети, руками (можно в гимпе/пейнте/да хоть в Visio). Подпиши все подсети, нарисуй что куда может ходить, а что не может. Это облегчит и маршрутизацию, и настройку фаерволла.

в каком направлении копать, что бы с гостевой сетки нельзя было залезть в рабочую сеть?

Для начала физически они должны быть разнесены, каким образом это уже решать вам, vlanы на активном оборудовании или просто две разные сетевки в роутер.

еще ничего нет, но я думал собрать из старого железа линукс сервак с тремя сетевухами и его ковырять.

на железяки типа zywall, бюджета нет

Тогда iptables

вот в этом то и вопрос, если я соберу линукс сервак с тремя сетевухами в рабочей и гостевой сетях будет разное адресное пространство, но это же не может гарантировать, что какой-то умник поменяет свой полученный от dhcp ip-шник на что-то запретное

три сетевухи? свитч и роутер два в одном? ну можно конечно и так.

Firewall на linux

два раза

Пофигу, интерфейсы разные, выше уже написал iptables спасет.

свитч и роутер два в одном?

Неа как раз только роутер, незабываем что сетки же не должны соединяться.

Ну в плане ты вланы собрался расшивать на сервере. Многие L3-свитчи прекрасно умеют acl, чтоб можно было не искать проблем себе на голову. Но чистый L2 разумеется о таких фичах не знает. Мы часто в таком случае вообще брали у провайдера два адреса и расшивали прямо на входном 8-портовом свитче. Один влан шел в корневой, а вафля - в специально обученный микротик и дальше по этапу

По поводу статических адресов и выхода в инет

http://superuser.com/questions/588462/restrict-static-ips-only-dhcp-on-debian...

А, сорри, попутал кому отвечал. Ну не суть

мне только это пришло на ум, из-за неопытности в таких вопросах

а как по-уму?

Написал выше, обшибся кому отвечал. Но вообще с линуксовым серваком проблема будет что дружелюбный гуй ты не получишь. Хотя для тренировки сойдет. В целом вариант норм, можно сделать как по той ссылке что я давал с ЛОРа, приправив дропами для соединения между вланами, резервированием адресов в локалке и защитой от любителей статики выше по ссылке

командную строку и конфиг файлы я люблю и не боюсь в общем направление понятно, спасибо

но вот эта фраза не совсем понятна

приправив дропами для соединения между вланами

чел, бери свой комп старый и ставь на него https://www.pfsense.org/ , на твои задачи ему надо пень 4 и 512 мб озу, при этом ты получишь прекрасный, понятный веб интерфейс, и нормальную документацию, а не как в iptables. читая которую, часто не понимаешь, что автор хотел сказать, особенно весёлый перевод на опеннете.

ну, по ссылке просто форвард из всех подсетей. Тебе еще нужен будет дроп для правила чтоб вафлеклиенты не могли во внутреннюю сеть лезть

кстати про любовь к консоли - это хорошо когда инфраструктура мелкая. когда юзеров хотя бы 1.5к, то становится намного хуже

имел не приятный опыт с pfsense пару лет назад, он хорош когда задачи более менее стандартные, но как только возникает что-то не стандартное (а оно рано или поздно возникает) сразу начинаются пляски с костылями

а ему как раз и надо, самое стандартное.

Мы часто в таком случае вообще брали у провайдера два адреса и расшивали прямо на входном 8-портовом свитче.

Ага, тоже так делаем. Но ТС судя по всему нужно «из того что было», поэтому даже предлагать не стал.

приправив дропами для соединения между вланами
вланами

Тут этим словом и не пахнет, не пугайте ТС тем что тут и не нужно :)

Не слушай его, эрзент это местный клоун, его банят постоянно, но он возраждается под новыми никами.

Ты хочешь сказать что если просто дать форвард без всяких условий с обеих сетевух то они между собой взаимодействовать не будут? Если подсети между собой маршрутизироваться не должны, то логично что нужно соответствующее правило

Не не, я именно про слово влан :) Все остальное у вас абсолютно правильно написано. От слова влан ТС может не в ту сторону занести.

Да, сорри, сработала годами выработанная привычка. Но кстати это тоже вариант - если у тса свитчи умеют вланы, то можно пустить по одному шнурку как tag/untag обе подсети, тогда минус одна сетевуха и более здоровая организация сети

Поставить роутер c поддержкой MultiSSID и включить в настройках Wifi гостевую сетку (если нужно 2 Wifi сети: внутрення и для гостей) и client isolation/AP Isolation. Можно также для гостей ограничить скороть интернета.

Посоветуйте что-то из проверенного цена/качество?