Простой маршрутизатор 3-х сетей из Linux
Ни одна сеть не должна видеть другую сеть, но админские компьютеры (например 10.11.10.7) должны видеть другие сети по всем портам.
Как мне это сделать через iptables ? Я уже просто окончательно запутался.
3 ответа 3
ИМХО самое простейшее — не делать этот комп шлюзом по умолчании. На компах адинистраторов прорписать route add для подсетей, указав этот комп в качестве роутера. Другие просто не будут знать, что так можно ходить 😉
отлично сейчас сбросил всё с iptablesДобавил на компьютере админа (WinXP) route ADD 172.20.0.0 MASK 255.255.0.0 10.11.20.70толку нет все равно он не видит компьютер из другой сети, в моём случае 172.20.1.2. Может я что-то не так сделал, или не сделал ?
@skykub, Хотя нет всё нормально. Я только пинговал и больше ничего не делал, а на самом деле всё остальное работает. Так даже лучше. Спасибо
Если делать тупо то ставьте на писюк линукс Ubuntu/CentOS/FreeBSD что вам ближе. Ставьте три сетевые карточки (если есть управляемый коммутатор который у меет VLAN’ы 802.1q я бы сдела на vlan’ах) на каждый сетевой интерфейс вешайте по ip-адресу из каждой сети. Например: 10.11.0.1/16172.20.0.1/16192.168.1.1/24
Включите пересылку пакетов между интерфейсами How to Enable IP Forwarding in Linux
Как настроить vlan’ы HowTo: Configure Linux Virtual Local Area Network (VLAN) как преимущество нужна только одна сетевая карта.
@huffman, то что надо 3 сетевые карты я знаю. Я извиняюсь забыл дописать настройки сетевых карт. Но как iptables настроить я все равно не понял.
как мне запретить любые соединения и форвадинги к сервере и разрешить админскому компьютеру подключаться например через Radmin к компьютерам других сетей.
Запрещаем всеiptables -P INPUT DROPразрешаем все для интерфейса loiptables -A INPUT -i lo -j ACCEPTразрешаем трафик для из сети 192.168.0.0/24 через интерфейс eth0iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
Для удобства общения с iptables использую Shorewall — там лексика построения правил менее запутанная. После конфигурирования и запуска Shorewall пропишет правила в iptables.
Shorewall
Похожие
Подписаться на ленту
Для подписки на ленту скопируйте и вставьте эту ссылку в вашу программу для чтения RSS.
Дизайн сайта / логотип © 2023 Stack Exchange Inc; пользовательские материалы лицензированы в соответствии с CC BY-SA . rev 2023.7.14.43533
Нажимая «Принять все файлы cookie» вы соглашаетесь, что Stack Exchange может хранить файлы cookie на вашем устройстве и раскрывать информацию в соответствии с нашей Политикой в отношении файлов cookie.
Как раздать интернет с одного роутера в три подсети?
Итак, у меня в наличии корпоративная сеть, 50+ машин, три подсети, в одной все сотрудники, в другой бухгалтерия, в третьей гости. Один приходящий LAN от провайдера. Ещё есть 4 роутера, 3 из них Tp-Link(tl-wr841nd) , 1 D-Link, все старенькие (от 2-х лет). Эти железки не умеют в VLAN. Чтобы был интернет надо быть в одной подсети.
Я не сетевой инженер, знаю только основы компьютерных сетей, но стоит вот такая задача, раздать с одного провода интернет на все 3 подсети.
Какие у вас идеи?
1. В чем сложность? заведи всех в 1 подсеть
2. либо купи роутер который умеет создавать несколько подсетей, на каждый LAN порт, например микротик или кинетик
3. поставь «основной» роутер, дальше каждый воткни от него в WAN порт — получишь 3 разные подсети
и кстати — vlan, если что)
правильный вариант — 2 )
Из соображений безопасности нельзя ввести всех в одну подсеть.
Я куплю, но сейчас надо дать интернет людям.
Что поставить в настройках остальных роутеров? Я так пробовал но не вышло.
4envy,
1й — делаешь подсеть lan — 192.168.1.1 , в WAN втыкаешь провайдера
2й- dhcp клиент — wan, lan — 192.168.2.1
3й и остальные по аналогии, 3.1 4.1 итд
каждый роутер настраиваешь как обычный домашний, со своим DHCP сервером итд. кабель от центрального втыкаешь в WAN порт
Drno, сделал как вы сказали, подключил к провайдеру 1 роутер(192.168.1.254), из его LAN подключил кабель в WAN 2-го роутера. На 2 роутере выставил в WAN получить ip динамически, поставил ему ip 192.168.2.254, отключил dhcp. Подключился от второго роутера ноутбуком, прописал статику (192.168.2.155) на ноуте — интернета нет.
Drno, по какой то причине 2-ой роутер не получает адрес, там стоит 0.0.0.0
В настройках dhcp первого роутера я указал раздавать адреса 192.168.2.100 — 192.168.2.199
Маска — 255.255.255.0
Шлюз — 192.168.1.254
4envy, ничего не понял. локальная подсеть на 2м роутере какая сейчас?
если у Вас роутер 1 раздает сеть 1.0/24 , то и WAN на 2м роутере надо ставить из сети 192.168.1.0/24, а LAN — 192.168.2.0/24
и уж если 1й роутер раздает по LAN — 192.168.2.0/24, тогда LAN у второго роутера должна отличаться, например 192.168.3.0/24
и шлз должен быть — адрес 1го роутера
Я правильно вас понимаю что 2-ой роутер получает адрес сети 1.0/24 а сам раздает 2.0/24, 3-й получает так ж 1.0/24 а сам раздает 3.0/24? Шлюз везде указать 1.254?
Так понимаю, никто не обещал, что все эти роутеры в исправном состоянии. Включается — ещё не значит, что будет нормально работать.
Один не получает по DHCP — попробуйте другой роутер на его место поставить.
Один не выдаёт по DHCP — попробуйте другой роутер на его место поставить.
В крайнем случае можно статически прописать адрес.
4envy, ну у Вас на WAN интерфейсе 2го и 3го роутера должна быть LAN подсеть 1го
если 1й раздает подсеть 192.168.1.0/24 — то на WAN интерфейсах должна быть эта же подсеть. И да, шлюзом тут будет 1й роутер
А на LAN интерфейсах — уже другая подсеть, типа 192.168.2.0/24
WAN — порт интернета
LAN — локальной сети
Самое простое решение (вот прям сию секунду сделать надо и нет денег на правильные железки)
WAN одного роутера на провайдера интернет изменив его локальную сеть на например 192.168.100.ххх
В его LAN порты включи остальные роутеры и распихай по сетям (2й на бухгалтерию, 3й на сотрудников, 4й на гостей)
Эти роутеры строят нат на ту сеть, которая прописана в их настройках как lan. По другому они не умеют.
Либо перешивать на всякие openwrt и иже с ним, или выкинуть их и купить один микротик и настроить.
Если просто «здесь и сейчас раздать всем интернет» то
1. Роутер (желательно лучший из всех) WAN-портом в провайдера, на WAN настраиваем подключение по настройкам провайдера, на LAN подсеть пускай 192.168.0.0/24 и IP 192.168.0.1
2. Роутер бухгалтерии WAN портом в LAN1 роутера 1 — LAN портами в свичи/компы бухов — на WAN настраиваем IP 192.168.0.2, получение интернета по статическому IP с основного шлюза 192.168.2.1, на LAN подсеть 192.168.2.0/24 IP 192.168.2.1 и DHCP пускай 192.168.2.10-250
3. Роутер сотрудников WAN портом в LAN2 роутера 1, дальше аналогично на WAN 192.168.0.3 на LAN 192.168.3.0/24
4. Роутер гостей WAN портом в LAN3 роутера 1, дальше аналогично на WAN 192.168.0.4 на LAN 192.168.4.0/24
Получится двойной NAT, работать будет, но коммуникации между сетями никакой. Гораздо проще и надежней взять самую дешевую коробку от вышеназванного микротика, умного D/TP-Linka и подобного, для организации в 50+ машин — это копейки по деньгам
Как создать сеть с большим количеством подсетей, используя функцию Multi-nets NAT на маршрутизаторе TP-Link c использованием коммутатора 3-его уровня?
Дата последнего обновления: 03-28-2016 11:55:53 AM 238382
T1600G-18TS , T1600G-28TS , TL-R600VPN( V4 ) , T3700G-52TQ , T1700G-28TQ , T2600G-52TS , T2600G-18TS , T2600G-28TS , TL-R480T+ , T2600G-28SQ , T1600G-28PS , T2700G-28TQ , T2500G-10TS( V2 ) , T2600G-28MPS , T1600G-52MPS , T1600G-52PS , TL-ER6120 , TL-ER6020 , T1600G-52TS , T3700G-28TQ , TL-ER5120 , TL-ER604W , T1700X-16TS
Иногда нам может понадобиться разделить внутреннюю сеть на несколько подсетей, используя один маршрутизатор для подключения к Интернет. Однако, согласно настройкам по умолчанию, маршрутизаторы TP-Link будут отклонять пакеты, исходные IP-адреса которых находятся в различных подсетях от его сегмента LAN IP. Поэтому, чтобы добиться поставленной задачи, маршрутизатору необходимо иметь возможность транслировать (NAT) и доставлять пакеты, чьи исходные IP-адреса находятся в различных подсетях от сегмента LAN IP. Multi-nets – это функция маршрутизаторов TP-Link, которая делает это возможным. Но для того, чтобы разделить внутреннюю сеть на несколько сегментов, необходимо использовать коммутатор 3-его уровня, как “традиционный маршрутизатор”.
Ниже представлен пример построения сети multi-nets (с множеством подсетей), с использованием функции Multi-nets NAT на маршрутизаторе TP-Link с коммутатором 3-его уровня.
Три отдела компании находятся в одном здании: отдел маркетинга, отдел финансов и отдел персонала. Существуют следующие требования: