Como bloquear um computador em particular atrás de um NAT

Navegue suas respostas
5

Eu corro um albergue pequeno e tenho a seguinte configuração de rede: 

Router1 (192.168.1.1) ─┬─ (192.168.1.2) Ubuntu Samba+SSH Server
                       ├─ (192.168.1.X) Router 2 (192.168.2.1) ─┬─ (192.168.2.X) GuestPC1
                       ├─ (192.168.1.X) AdminPC1                ├─ (192.168.2.X) GuestPC2
                       ├─ (192.168.1.X) AdminPC2                ├─ (192.168.2.X) GuestPC3
                       :                                        :
                       :                                        :
                       └─ etc.                                  └─ etc.

192.168.1.X é a rede ADMIN que nós gostaríamos de manter privada da rede GUEST (192.168.2.X) para salvar algumas pastas compartilhadas do Samba no 192.168.1.2.

Todos os computadores em ambas as redes obtêm seus endereços IP via DHCP, exceto pelo servidor Samba + SSH que usa IP estático.

Eu notei que os GuestPC's são capazes de acessar o Ubuntu Samba + SSH Server, apesar de configurar o ufw para permitir apenas 192.168.1.0/24.

Depois de pesquisar um pouco na Internet, parece que as conexões do GuestPC são capazes de se mascarar na minha rede ADMIN por causa do NAT no Roteador 2. Assim, dada apenas a regra ufw acima, o GuestPC é capaz de acessar totalmente o Samba. e serviços SSH sem restrição.

Minha pergunta é, qual é a maneira correta de impedir que os computadores da rede GUEST (192.168.2.X) acessem a rede ADMIN (192.168.1.X)? Existe uma maneira melhor do que configurar o Roteador 2 para IP estático e bloquear seu IP usando o ufw no servidor Ubuntu?

    
por silvernightstar 12.03.2013 / 06:56

2 respostas

4

Você pode reverter rede1 e rede2, ou seja, ter a rede do Office atrás do segundo roteador e tê-la, e os convidados conectarem-se ao primeiro roteador. Essa é provavelmente a solução mais simples (e viável, supondo que você não tenha um problema com double-nat, o que você está fazendo de qualquer forma).

Como sua rede está, você não pode bloquear o acesso ao servidor usando regras em seu roteador (conectado à internet) - pois o tráfego nunca vai para lá. Você poderia bloqueá-lo do seu roteador secundário.

Você não especifica onde você está usando essa regra ufw (ou o que é), mas se você quiser impedir que os visitantes acessem seu servidor SAMBA, você tem pelo menos algumas alternativas [supondo que você não modifique sua rede de acordo com minha primeira sugestão]

  1. Livre-se do NAT no seu segundo roteador. Além de desligar o NAT, você precisará para empurrar uma rota para 192.168.2.0/24 do seu primeiro roteador para o seu segundo roteador. Isso permitirá que você identifique a segunda rede por seu intervalo de IP e bloqueie-a roteador 2.

    OR

  2. Altere a interface WAN no roteador2 para um endereço IP estático e bloqueie-o no Servidor Ubuntu (e / ou roteador 2).

por 12.03.2013 / 07:55
0

Se você pode poupar um PC sugeriria usar o m0nowall, é uma distro do FreeBSD especializada em aplicações de rede seguras. Tem esse recurso que você deseja, desde que você equipar o PC com ou mais NICs

    
por 12.03.2013 / 08:23

Tags

Recomendação para emparelhamento de memória em um MacBook Pro de 13 "? Como o Excel decide usar um caminho absoluto para links externos em vez de um caminho relativo