Posizionare un firewall senza creare una nuova sottorete

4

Ho un paio di reti che hanno più indirizzi IP, e dove non ho assolutamente alcuna scelta per quanto riguarda l'attrezzatura utilizzata per il router di bordo della rete (il dispositivo che si connette sia alla LAN che all'ISP). Il sistema che si trova ai margini della rete è inadeguato per un firewall e quindi voglio usare una macchina Linux per eseguire la funzionalità di firewall. Tuttavia, quello che faccio non voglio fare è subnet; una delle reti su cui questo deve essere eseguito è a / 29, e l'altra è a / 28.

Per il piacere di questo esempio, chiameremo queste reti 10.0.0.0/29 (rete A) e 10.0.1.0/28 (rete B).

Su entrambe le reti A e B, l'ultimo indirizzo IP utilizzabile è quello utilizzato per il dispositivo gateway richiesto dell'ISP (che è un modem via cavo combinato e uno switch Ethernet a quattro porte). Quindi, su A è 10.0.0.6 e su B è 10.0.1.14. (Si noti inoltre che questi dispositivi eseguono funzioni NAT, utilizzando anche il proprio indirizzo richiesto per il gateway NAT.)

Ora, quello che voglio è avere un sistema sulla rete A, dargli IP 10.0.0.1 e renderlo il firewall per gli altri host sulla rete (cioè 10.0.0.2, 3, 4 e 5 ).

Tuttavia, in qualche modo non riesco a capire come posso farlo. Non ho il controllo della tabella di routing sul dispositivo gateway dell'ISP, quindi non posso dirlo per instradare i pacchetti sulla mia rete tramite un gateway che controllo sulla mia rete.

Fisicamente, la connessione di rete arriva su un cavo coassiale nel modem via cavo. Le quattro porte gigabit del modem via cavo sono alimentate a ventaglio in tutta la rete:

  • Uno è connesso a un sistema server che ha un bridge e quattro porte aggiuntive su di esso.
  • Uno è connesso a un router wireless, che alimenta la mia rete wireless nel piano di sopra della mia casa.
  • Uno è connesso a una workstation.
  • Uno è connesso a una stampante.

Quindi logicamente, è un segmento di rete. Quello che vorrei fare è agganciare il server al dispositivo su una singola porta e fare in modo che il server trasmetta la rete con la sua scheda di rete a più porte. Ma non riesco a pensare a come farlo senza rompere l'IP; Mi viene consegnato un / 28 su questa rete (e come ho detto prima, un / 29 sull'altro) e non posso permettermi di perdere alcun indirizzo IP per il subnetting, sto usando la maggior parte di tutti loro.

Qualche idea? E inoltre, se ho omesso qualcosa di rilevante, fammelo sapere.

    
posta Michael Trausch 01.07.2011 - 04:26
fonte

1 risposta

5

Sembra che tu stia cercando un firewall per il bridging.

link

Il grafico sotto è dal link sopra:

enter image description here

link

"Un bridge è un modo per connettere due segmenti Ethernet insieme in un modo indipendente dal protocollo I pacchetti vengono inoltrati in base all'indirizzo Ethernet, piuttosto che all'indirizzo IP (come un router) .Dato che l'inoltro viene eseguito su Layer 2, tutti i protocolli possono passare in modo trasparente attraverso un ponte. "

    
risposta data 01.07.2011 - 04:45
fonte

Leggi altre domande sui tag