windows шара из одной подсети в другую

0

1

Добрый день. Есть один роутер с несколькими сетевыми картами на базе ubuntu server.
Одна сетевая карта (назовём её «inet» с ip 10.10) смотрит в интернет.
Вторая сетевая смотрит в основную сеть (назовём её «lan-1"с ip 20.10), в которую будет раздаваться интернет из „inet“ через nat. В этой же сети находятся все необходимые ресурсы для работы всех клиентов сети „lan-1“ и так же в сети „lan-1“ есть ПК на windows с расшаренной папкой (допустим с ip 20.200).
Третья сетевая карта (назовём её „lan-3“ с ip 30.10) и сразу четвёртая сетевая карта (назовёт её „lan-4“ с ip 40.10) смотрят в третью и четвёртую подсеть соответственно.

А задача в следующем:
Надо чтобы все блага в виде интернета, RDP и всех дополнительных ресурсов доступных в сети lan-1 оставались в lan-1, а вот в lan-3 и lan-4 была лишь доступна та самая расшаренная папка из lan-1.
Причём ограничения должны быть жёсткими, никакие компьютеры из сети lan-1 не должны быть видны из lan-3 и lan-4, интернет туда тоже не должен раздаваться.

Пробовал nat`ом делать доступ из lan-3 в lan-1, но в такой случае видна стала вся сеть lan-1 (все ПК в сети lan-1), чего ни в коем случае не должно быть. Немного пробовал через route add. Боюсь, что я даже на уровне идеи пока не понимаю, как выполнить эту задачу, не доходя даже до написания самих правил. Направьте на путь истинный. Может наработки у кого-то похожие есть, кусочки правил iptables.
Заранее благодарен.

Ссылка

←	Получить от dns всю зону

Через WebDAV не удаляются директории

→

никакие компьютеры из сети lan-1

В хотите на уроне iptables сделать магию, чтобы 20.200 не был виден в сети lan-3, а одна его шара там была видна?

Реально правилами в filter FORWARD разрешить из lan-3 и lan-4 доступ к 20.200 и только к нему, ограничив порты (чтобы не было доступа к RDP), но видны будут все его шары.

mky ★★★★★
(14.03.19 00:11:03 MSK)

Ответ на: комментарий от mky 14.03.19 00:11:03 MSK

Спасибо за ответ.
Надо, чтобы только один пк с расшаренной папкой из сети lan-1 был виден компьютерам в сетях lan-3 и lan-4. Все остальные ресурсы/компьютеры, расположенные в сети 1 не должны быть доступны сетям 3 и 4. В идеале даже не просто 1 ПК, а только расшаренная папка на нём была доступна сетям 3 и 4, то есть на этот единственный ПК, можно было бы зайти например по rdp или по http только из lan-1, а вот на расшаренный ресурс как из lan-1, так и из lan-3 и lan-4. У кого-нибудь имеется пример таких правил, хоть немного приближенных к моей проблеме ?

ziz0
(14.03.19 01:03:09 MSK) автор топика

Ответ на: комментарий от ziz0 14.03.19 01:03:09 MSK

Пробовал nat`ом делать доступ из lan-3 в lan-1

Послушайте доброго совета - начните с чтения литературы по маршрутизации и файерволингу. Разберитесь с понятием сетевого сервиса, хотя бы освойте сочетание IP:PORT. Без этого Вы долго будете блуждать по граблям, даже в случае, если какая-нибудь добрая душа распишет Вам правила роутинга и iptables.

funky ★
(14.03.19 10:36:15 MSK)

Ссылка

Что-то типа:

iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s сеть_lan-1 -j ACCEPT
# разрешаем доступ к расшаренной папке по портам tcp 389 и 443 (порты от балды взял)
iptables -A FORWARD -s сеть_lan-3 -d 20.200 -p tcp -m multiport --ports 389,443 -j ACCEPT
iptables -A FORWARD -s сеть_lan-4 -d 20.200 -p tcp -m multiport --ports 389,443 -j ACCEPT

gfh ★★★
(15.03.19 09:13:41 MSK)
Последнее исправление: gfh 15.03.19 09:15:07 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от mky 14.03.19 00:11:03 MSK

но видны будут все его шары

Тут можно пойти извращением, смотниторать шару на роутере и ее раздавать через самбу.
Кстати вот интересно, на самбе можно ограничить доступ/видимость шар по IP, может и на винде такое шаманство возможно? Если возможно то получилось бы без костылей.

anc ★★★★★
(17.03.19 09:09:56 MSK)
Последнее исправление: anc 17.03.19 09:10:35 MSK (всего исправлений: 1)

Ссылка

В общем решено было пойти по пути наименьшего сопротивления и разместить эту самую общую для всех сетей шару на отдельном ПК с 3 сетевыми картами(по одной карте для каждой сети). Получилось и безопасно, и работает, и до безобразия просто.
Но идея решить эту проблему средствами iptables меня не отпускает. Так что буду разбираться дальше.
Всем отозвавшимся и особенно тем, кто предлагал кусочки правил, отдельное спасибо.

ziz0
(26.03.19 15:23:56 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Получить от dns всю зону

Admin

Через WebDAV не удаляются директории

→

Похожие темы