Er det noen annen separat enhet eller gateway som vil la meg rute LAN-B ut til Internett ved hjelp av et annet subnett enn LAN-A? Etter å ha lest et par ganger spørsmålet ditt, er det fortsatt ikke 100% klart for meg akkurat det oppsettet av nettverket, så jeg skal gå videre med et forslag som skal dekke deg, eller i det minste hjelpe deg å finne en måte som du kan løse ditt problem.
Du har to nettverk (LAN A & B) som er koblet mellom dem og begge krever tilgang til Internett, men uten at noen av de to LAN er "ser" hverandre.
I ditt tilfelle, er LAN Et direkte koblet til Internett mens LAN B er koblet via en hub til LAN A, og du trenger for å begrense tilgangen mellom de to LAN, slik at bare Internett-trafikk.
For å oppnå dette, uten at det går noen mulige sikkerhetspolitikk, vil du trenger, som du har riktig bemerket, noen form for en gateway mellom to LAN. Dette Gateway kan være en Microsoft-server eller en Linux-maskin (mitt valg) med iptables (pakkefiltrering).
Hvis du har på hånden noen form for brannmur enheten der du er i stand til å søke tilgang politikk, så det også vil gjøre jobben.
De reglene du trenger for å søke vil være ganske rett frem:
LAN A: 192.168.0.0/24LAN B: 192.168.10.0/24Det sentrale her er slik du er kommer til å ta i bruk retningslinjer /regler. De fleste brannmur /gateway-produkter vil lese reglene starte fra begynnelsen og vil stoppe før en kamp er funnet.
For eksempel, hvis vi har 25 sett med regler, vil brannmuren starte fra regel nummer en før en kamp er funnet - dersom den finner at regelen 13 er en kamp for den type pakke som krysser brannmuren , så vil det enten tillate eller avvise pakken avhengig av regelen og stoppe behandlingen resten av reglene.
Så kommer tilbake til vårt eksempel, må du sørge for at den første regelen nekter adgang mellom de to LAN:
nekte 192.168.0.0/24 å 192.168.10.0/24
< li> nekte 192.168.10.0/24 til 192.168.0.0/24
tillate 192.168.10.0/24 til 0.0.0.0
Her er vi begrenser begge sider får tilgang til hverandre ( 1,2) og den siste kommandoen forteller brannmuren slik at noen fra 192.168.10.0 nettverk (LAN B) for å få tilgang til noe nettverk.
På dette punktet, må du kanskje følgende spørsmål: Hvorfor er det tredje regelen kun gjaldt for LAN B?
Husk at brannmuren er mellom de to nettverkene og dets formål er å tillate LAN B for å koble til Internett, men nekte noen adgang mellom de to nettverkene. Dette er også grunnen til at vi har den tredje regelen.
Siden LAN A har sin egen gateway /brannmur for Internett, vi krever ikke noen ekstra regler for LAN B nettverk!
Hvis dette scenariet har ikke helt svarte på spørsmålet ditt, se på det som et eksempel, og prøve å se hvordan du kan bruke " logikk " Jeg bruker her, til suite din scenario.
I tillegg, hvis du ønsker mer informasjon om ulike scenarier av brannmur oppsett, kan du besøke http://www.firewall.cx/firewall_topologies.php for mer informasjon og illustrasjoner.
Lykke til!