Hálózat logikai szegmentálás 2 kártyával

 ( bandy | 2004. október 4., hétfő - 14:05 )

Hálózat logikai szegmentálás 2 kártyával

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Üdv!

A következő dologban kérnék segítséget:

Van egy LAN hálózat, amin különféle windowsos gépek lógnak, emellett van egy szervizünk is, ahová gyakran hoznak be vírussal fertőzött gépeket. A kollégák szívesen hozzák be laptopjaikat, amiket természetesen a LANra fel iskötnek :)
Mivel a belső gépeken igen fontos adatok vannak, ezért fontos, hogy lehetőleg minimálisra csökkentsük a vírusveszélyt, egyéb "balesetek" bekövetkezését.

Erre azt találtuk ki, hogy subnetekre bontjuk a mostani egységes hálózatot. Erre egy compaq PII 400as gép kapott kinevezést, debian woody-val.

Azt szeretném megoldani, hogy

eth0 -> a mostani WAN átjáróra csatlakozik közvetlenül
eth1 -> 192.168.1.0/24 (belső, védett gépek zónája + adatbázis szerver)
eth1:0 -> 192.168.2.0/24 (munkatársak, akik laptoppal mászkálnak + publikus samba)
eth1:1 -> 192.168.3.0/24 (szervizes gépek, es a főnökségnek korlátozás nélküli átjáró a netre)
eth1:2 -> 192.168.4.1 (terminál szerver, erről lehetne netezni a védett gépek zónájából)

DHCP-vel szeretném az IPt kiosztani, MAC-addr alapján (a publikus gépeknek nem maccadd, hanem a random).

Emellett pár korlátozás kellene, de azokat az iptables-sel és squid-al meg tudom oldani (belső gépekről milyen portok nyithatóak, stb., milyen oldalakat böngészhetnek)

Na, és a kérdés: hol tudok hasonlónak utánanézni (manuálokon kívül, mert azokat már böngészgettem)?
Esetleg ha valami nagy butaságra készülök várom az építő jellegű kritikákat.

Ja, igen, sima HUB-ra csatlakozik az összes gép. Tehát az a megoldás, hogy "egy komolyabb switch vlan-t tudja kezelni" nem nyerő sajnos.

Előre is köszönöm a hozzászólásokat!

Üdv:
bandy