5

Я управляю небольшим хостелом и имею следующую конфигурацию сети:

Router1 (192.168.1.1) ─┬─ (192.168.1.2) Ubuntu Samba+SSH Server
                       ├─ (192.168.1.X) Router 2 (192.168.2.1) ─┬─ (192.168.2.X) GuestPC1
                       ├─ (192.168.1.X) AdminPC1                ├─ (192.168.2.X) GuestPC2
                       ├─ (192.168.1.X) AdminPC2                ├─ (192.168.2.X) GuestPC3
                       :                                        :
                       :                                        :
                       └─ etc.                                  └─ etc.

192.168.1.X - это сеть ADMIN, которую мы хотели бы сохранить частной от сети GUEST (192.168.2.X) сохранить для некоторых общих папок Samba 192.168.1.2.

Все компьютеры в обеих сетях получают свои IP-адреса через DHCP, за исключением сервера Samba+SSH, который использует статический IP-адрес.

Я заметил, что GuestPC могут получить доступ к Ubuntu Samba+SSH Server, несмотря на то, что ufw настроен на разрешение только 192.168.1.0/24.

После небольшого исследования в Интернете кажется, что соединения от GuestPC могут маскироваться в моей сети ADMIN из-за NAT на маршрутизаторе 2. Таким образом, учитывая только вышеупомянутое правило ufw, GuestPC могут полностью получить доступ к службам Samba и SSH без ограничений.

Мой вопрос заключается в том, как правильно предотвратить использование сети GUEST (192.168.2.X) доступ компьютеров к сети ADMIN (192.168.1.ИКС)? Есть ли лучший способ, чем установить на маршрутизаторе 2 статический IP-адрес и заблокировать его IP-адрес с помощью ufw на сервере Ubuntu?

2 ответа2

4

Вы можете поменять сеть1 и сеть2, то есть иметь сеть Office за вторым маршрутизатором, и это необходимо, и гости подключаются к первому маршрутизатору. Это, вероятно, самое простое решение (и жизнеспособное, если у вас нет проблем с double-nat, что вы и делаете каким-либо образом).

Поскольку ваша сеть работает, вы не можете заблокировать доступ к серверу, используя правила на своем (подключенном к Интернету) маршрутизаторе - так как трафик туда никогда не идет. Вы могли бы заблокировать его от вашего вторичного маршрутизатора.

Вы не указываете, где вы используете это правило UFW (или что это такое), но если вы хотите запретить гостям доступ к вашему серверу SAMBA, у вас есть по крайней мере несколько вариантов [при условии, что вы не изменяете свою сеть согласно моим первое предложение]

  1. Избавьтесь от NAT на вашем втором маршрутизаторе. В дополнение к отключению NAT вам нужно протолкнуть маршрут для 192.168.2.0/24 от вашего первого маршрутизатора до второго маршрутизатора. Это позволит вам идентифицировать вторую сеть по диапазону IP-адресов и заблокировать ее на маршрутизаторе 2.

    ИЛИ ЖЕ

  2. Измените интерфейс WAN на router2 на статический IP-адрес и заблокируйте его на сервере Ubuntu (и / или router 2).

0

Если вы можете сэкономить на ПК, предложите использовать m0nowall, это дистрибутив FreeBSD, специализирующийся на безопасных сетевых приложениях. Он имеет ту функцию, которую вы хотите, при условии, что вы оборудуете ПК или больше сетевых карт

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .