begin 1 followup to Manuel Reimer <
Manuel.N...@nurfuerspam.de>:
> Hallo,
>
> vielleicht liest hier ja doch noch jemand mit mit der sich auskennt...
>
> Folgendes Szenario habe ich:
>
> Ein Router versorgt ein LAN welches aus sich ᅵber zwei Wohnungen
> erstreckt. Jedes "Teilnetz" kommt als ein einziges LAN-Kabel am Router
> an. Um die Verteilung (Switches) wird in den jeweiligen Wohnungen gekᅵmmert.
>
> Ich habe kein Interesse daran, dass die zwei Wohnungen ᅵber LAN direkt
> miteinander kommunizieren. Nur ins Internet sollen beide kᅵnnen.
Das ist die Aufgabe einer Firewall (verbundene Netze gegeneinander
abzutrennen).
> Kᅵnnte man sowas mit einem Managed-Switch lᅵsen? Also Router an "Port 1"
Nein. Wieso sollte man das? Ein Managed Switch ist keine Firewall.
Genausowenig wie ein dreieckiges Stahlblech an einer Achse befestigt
sich zur Fortbewegung eines Karrens eignet.
> und die zwei Netze an "Port 2" und "Port 3". Dann "irgendwie"
> konfigurieren das "Port 2" mit "Port 1" und "Port 3" mit "Port 1"
> kommunizieren darf, zwischen "Port 2" und "Port 3" aber keinerlei
> Kommunikation stattfinden soll?
Nein.
> Der Router versorgt dann weiterhin beide Netze mit DHCP, DNS und Gateway.
Ein Router *verbindet* NEtze. DAs ist die Grundfunktion eines Routers.
Egal was der Switch auch immer macht.
> Geht sowas? In welcher Preisklasse mᅵsste sich mein Switch bewegen? Gibt
Du verwechselst die Schichten.
> es auch welche die man einfach via Webinterface einstellen kann oder
> braucht es spezielle Software dafᅵr? Wenn letzteres, dann brauche ich
> die Software zwingend fᅵr Linux.
>
> Danke vielmals im Voraus
Was du brauchst ist Firewall-Funktionalitaet auf deinem Router.
Ein Switch kann nur LAN-Segmente voneinander trennen, er weis hingen
nichts von IP-Netzen und Netzwerktopologien.
Oder etwas ausfuehrlicher:
Ein managed Switch kann verhindern, dass Stationen im LAN-Segment (aka
VLAN) 1 direkt - d.h. unter Umgehung des Routers - mit Stationen im
LAN Segment 2 kommunizieren koennen. Ein solcher VLAN-trennender
Switch kann also nur durchsetzen, dass Stationen in den verschiedenen
Segmenten untereinander immer nur ueber den Router kommunizieren
koennen.
Auf diesem Router muss nun eine Access-Control ("Firewall") Regelwerk
dafuer sorgen, dass er keine Pakte innerhalb der beiden LAN-Segmente
routet - sondern diese jeweils nur mit dem Internet erlaubt*.
Ganz Einfach.
* z.B. einfaches Regelwerk fuer einen Linux/netfilter basierten Router
mit eth0 und eth1 als die beiden LAN-Interfaces und ppp0 als UPlink:
iptables -P FORWARD ACCEPT
iptables -I FORWARD -i eth0 -o eth1 -j REJECT
iptables -I FORWARD -i eth1 -o eth0 -j REJECT
HTH,
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)