[freifunk-public] VLAN Netztrennung über separaten PC.

Jan Philippi jan at philippi.pw
Mo Jun 24 11:56:42 CEST 2019


Hi Arno,

prinzipiell halte ich die Idee verschiedene Netzwerke mit dem gleichen
Subnetz zu nutzen für eine schlechte Idee. Warum sollte man so etwas tun?

Nutze doch ein anderes Netzwerk z.B. 192.168.11.0/29 (kannst natürlich
auch /24 nutzen).

Firewall-PC eth0: 192.168.10.1
Firewall-PC eth1: 192.168.11.1

WLAN-Bridge: 192.168.11.2 & 192.168.11.3

Freifunk-Router: 192.168.11.4

Vorschlag iptables config:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP

-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth0 -d 192.168.10.1 -j ACCEPT
-A FORWARD -o eth0 -d 192.168.10.1 -j ACCEPT

-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth1 -j ACCEPT

-A INPUT -p tcp --dport   22 -j ACCEPT

iptables Regeln ohne Gewähr.

Jan

SMTP: jan at philippi.pw
XMPP: jan at himbeere.pw
GPG: 45F3 2DF0 4D55 C4B4 2083  14C5 5727 D54F *E4E2 2A3C*

Am 24.06.19 um 10:15 schrieb - - via freifunk-public:
> Hallo alle!
> 
> Kurze Frage in die Runde.
> Es geht immer noch um die Netzwerktrennung unserer Verbindung zum Freibad.
> 
> Angenommen ich hätte ein Netz wie folgt:
> 
> Internet - Firewall-PC - WLAN-Bridge ::::::: WLAN-Funkstrecke :::::::
> WLAN-Bridge - Freifunk-Router
> 
> Wie müsste ich den Firewall-PC konfigurieren, das nur die Verbindung ins
> Freifunk-Netzwerk gestattet ist.
> 
> Da mir bisher keiner bei der Konfiguration des 'Microtik hAP lite'
> helfen konnte, würde ich die Idee von Ralf aufgreifen und einen alten
> ausgemusterten PC mit 2 Netzwerkkarte bestücken.
> Dieser PC soll somit zwischen dem Freifunk-Router und dem übrigen
> Netzwerk als Firewall arbeiten.
> 
> Hier die Netzdaten (leicht abgeändert(Hacken zwecklos):
> 
> Angenommen ich hätte folgendes Netz:
> 
> Internet-Router: 192.168.10.1
> 
> Firewall-PC eth0: 192.168.10.11 (Verbindung zum Internet) 
> Firewall-PC eth1: 192.160.10.12 (Verbindung über die WLAN-Bridge zum
> Freifunk-Router)
> 
> WLAN-Bridge: 192.168.10.21 & 192.168.10.22
> 
> Freifunk-Router: 192.168.10.31
> 
> Installieren würde ich ein Ubuntu-Server 18.04.
> 
> Wie müsste ich die iptables/Firewall dort konfigurieren um:
> 
> Den Zugriff nur auf die IP-Adressen
> 192.168.10.1 bzw.
> 192.168.10.21 & 192.168.10.22, bzw.
> 192.168.10.31 zuzulassen.
> 
> Wie müsste ich die Firewall definieren, das der Freifunk-Router nur auf
> den Internet-Zugang oder einen anderen lokalen Freifunk-Router/Offloader
> zugreifen kann.
> 
> Alternativ wäre sicher auch eine Sperrung der Ports möglich.
> Sprich wenn ich nur die Freifunk-Ports erlaube ist der Rest ja auch
> automatisch gesperrt.
> 
> So etwas hat doch sicher schon mal jemand gebaut.
> Kennt ihr kurze schnell umsetzt bare Lösungen?
> 
> Danke Arno.
> 
> 
> 
> 

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://lists.hacksaar.de/pipermail/freifunk-public/attachments/20190624/e3b525d2/attachment-0001.sig>


Mehr Informationen über die Mailingliste freifunk-public