Dados n (por exemplo, 200) clientes em uma sub-rede / 24 e a seguinte estrutura de rede:
client 1 \
. \
. switch -- firewall
. /
client n /
(em palavras: todos os clientes conectados a um switch e o switch conectado ao firewall)
Agora, por padrão, por exemplo o cliente 1 e o cliente n podem se comunicar diretamente usando o comutador, sem que nenhum pacote chegue ao firewall. Portanto, nenhum desses pacotes pode ser filtrado. No entanto, eu gostaria de filtrar os pacotes entre os clientes, portanto, eu quero proibir qualquer comunicação direta entre os clientes.
Eu sei que isso é possível usando vlans, mas depois - de acordo com o meu entendimento - eu teria que colocar todos os clientes em sua própria rede. No entanto, eu nem tenho tantos endereços IP: tenho cerca de 200 clientes, apenas uma sub-rede / 24 e todos os clientes devem ter endereços IP públicos, portanto não posso simplesmente criar uma rede privada para cada um deles (bem, talvez usando algum NAT, mas eu gostaria de evitar isso).
Então, existe alguma maneira de dizer ao switch: Encaminhe todos os pacotes para o firewall, não permita comunicação direta entre os clientes? Obrigado por qualquer dica!
Você pode separar clientes dentro de um VLANM se o seu comutador suportar PVLAN (VLAN privada), que pode ser configurado para permitir que qualquer host fale com o firewall sem poder se comunicar com qualquer outro dispositivo. Você também pode configurar seu PVLAN para também permitir a comunicação entre grupos limitados de servidores.
Que tipo de mudança você está usando?
Quando os clientes estão conectados ao mesmo switch, eles se comunicam entre si através da passagem pelo firewall. Você não pode dizer ao switch para encaminhar o tráfego para o firewall a ser filtrado. O switch é transparente para o cliente e firewall na rede.
Você precisa distribuir os clientes em diferentes sub-redes para fazer alguma filtragem na camada 3 (IP). Então, usando VLANs é a melhor opção neste caso. Se você precisar usar IPs públicos e não tiver muitos deles, basta atribuir IPs privados e fazer NAT no firewall.
Os hosts não precisam estar em sub-redes separadas para ter um firewall entre eles.
Os firewalls vêm em diferentes tipos, como um firewall de roteamento ou um firewall de ponte. Quando os firewalls são mencionados sem especificar qual tipo, geralmente é assumido que você quer dizer um firewall de roteamento. Mas, para firewall tráfego entre hosts em uma única sub-rede, o que você precisa é de um firewall de ponte. Alguns firewalls são capazes de atuar como um firewall de roteamento e um firewall de ponte ao mesmo tempo.
Um firewall de roteamento é um roteador que pode filtrar pacotes com base em um conjunto de regras.
Um firewall de bridging é um switch que pode filtrar pacotes com base em um conjunto de regras.
O melhor desempenho seria alcançado se o switch que interconectasse os hosts pudesse atuar como um firewall de ponte. No entanto, assumir o desempenho não é uma alta prioridade e você precisa continuar usando o mesmo switch, você pode olhar para outras opções.
Ao colocar cada host em uma VLAN separada e marcar todo o tráfego na porta conectada ao firewall, você poderá configurar o firewall para atuar como um firewall de ponte. (Assumindo que seu firewall é capaz de agir como um firewall de ponte).
Essa configuração não exige mais nada do switch que o suporte a VLAN. Ele toca em um caso de canto de comutação de VLAN que é fácil ignorar no design, o que significa que é possível que alguns switches tenham uma falha de design que os impeça de funcionar corretamente com um firewall entre as VLANs. A parte complicada é que cada endereço MAC único ficará visível para o switch em portas diferentes, dependendo de qual tag de VLAN é usada. Se o switch usar apenas o endereço MAC de destino como chave ao procurar no CAM, ele não funcionará, um switch com capacidade de VLAN implementado corretamente usa a combinação de tag de VLAN e endereço MAC como chave para pesquisas de CAM.
Eu resolveria o contrário. Preciso instalar um servidor PPPoE, no qual todos os clientes estão isolados porque estão em um túnel e precisam se conectar ao servidor