LINUX.ORG.RU
решено ФорумAdmin

Изолировать хост в сети


0

2

Есть локалка, очень просто устроенная - свитч в который воткнуты компы. Среди них 2 сервера - виндовый с доменом, файлопомойкой и с линуксом который занимается раздачей инета. Недавно в свитч воткнули DWL-2100AP которая стала раздавать инет на 2 ноута, все было хорошо. Но внезапно понадобилось подключить еще один комп по вайфаю, этому компу требуется доступ в инет и доступ к виндовому серверу только по одному порту. Проблема в том, что я этот комп в локалке видеть решительно не желаю, и хочу ограничить его только доступом в инет и к тому самому порту. При этом свитч не управляемый и AP не может свой трафик гнать в VLAN, который можно было бы разрулить на сервере. Единственно что приходит в голову - дать этому компу IP из другой подсети, и на сервере сделать alias-интерфейс с этой же сетью. Мб кто нибудь посоветует более изящное решение?

      +-------+
      | swith |
      +-------+
       ||||| |  / notebook
 inet -SSCCC AP - notebook
                \ bad pc

если из описания не все ясно, то схемка примерно такая


Собрать deb пакет из git репозитория
setup.py и gettext
Ответ на: комментарий от no-dashi

у нее нет режима маршрутизатора и фаера. все возможности фильтрации ограничиваются фильтром мак адреса.

CFA
() автор топика

ну все зависит от того, куда из этих машин у тебя есть доступ.
возможно на «bad pc» достаточно настроить фаервол?

Komintern ★★★★★
()

> дать этому компу IP из другой подсети, и на сервере сделать alias-интерфейс с этой же сетью. Мб кто нибудь посоветует более изящное решение?

айпишку можешь дать ему из той же подсети, а маску прописать /32, и тогда он все пакеты будет слать на шлюз, где собственно уже можно и фильтровать.

Komintern ★★★★★
()
Ответ на: комментарий от Komintern

доступ есть ко всем машинам, но возится с тем компом нет никакого желания, я практически на 100% уверен, что bad pc через очень короткий промежуток времени станет рассадником вирусов и прочей гадости, причем не спасут ни фаер на нем, ни антивирус.

насчет маски - а как он будет слать пакеты на шлюз, если шлюз у него будет фактически в другой подсети?

CFA
() автор топика

На точке поднять multi ssid, выделенные ssid заземлить в разные vlan, которые допинать до маршрутизатора и там разделять доступ.

Если коммутатор говно и .1q не умеет, то всё равно тэгировать трафик на точке доступа - до маршрутизатора тэг дойдёт, только основной ssid совать в native.

Спасибо, пожалуйста, не знаю что на меня нашло.

as33 ★☆☆
()
Ответ на: комментарий от CFA

имхо лучше в 3200 перешить, там более вменяемая поддержка multisid + vlan в последних прошивках, начиная с 2.50

hizel ★★★★★
()
Ответ на: комментарий от hizel

А в чем там отличие? На 2100 стоит тоже 2.50eu. Кстати если включать vlan, то тегируются все ssid'ы, избирательно тегировать не получается. А прошивка от 3200 может тегировать только определенные ssid'ы?

CFA
() автор топика
Ответ на: комментарий от CFA

>Кстати если включать vlan, то тегируются все ssid'ы, избирательно тегировать не получается. А прошивка от 3200 может тегировать только определенные ssid'ы?

хз, мне как раз надо было чтобы все ssid-ы в отдельных vlan-ах и управление точки в отдельном

hizel ★★★★★
()
Ответ на: комментарий от as33

1 стояла, но пакеты шли с тегами. 0 завтра попробую.

CFA
() автор топика
Ответ на: комментарий от CFA

у длинк-а бывает весьма извращенная логика

hizel ★★★★★
()

Может стоит файлопомойку сделать через VNC? Пригодится на случай, если еще компы будут подключаться, да и надежнее так )

Siado ★★★★★
()

А если так? 

      +-------+
      | swith |
      +-------+
       | | |||
 inet -S S CCC
       |
       |   notebook
       |  /
       +-AP - notebook
          \
           bad pc
Т.е. в раздатчик интернета добить ещё карту (возможно, поднять VLAN'ы).

berrywizard ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Собрать deb пакет из git репозитория
Admin
setup.py и gettext