Страница 1 из 1
Доступ к устройству с другой подсети.
Добавлено: 01 фев 2018, 21:24
polparker82
Такой вопрос.
1 порт ВАН
2 порт сеть 192.168.1.0/24
5 порт сеть 192.168.5.0/24
В правилах настроено что сети не видят друг друга для безопасности.
Такая ситуация, припустим в сети 192.168.1.0/24 под адресом 192.168.1.155 находится некое общее устройство (ІР камера, сетевой принтер) доступ к которому нужен с сети 192.168.5.0/24 и только для адреса 192.168.5.10
Подскажите как организовать?
Искал по инетах но немного не то. Обычно просто объединение сетей.
Спасибо.
Re: Доступ к устройству с другой подсети.
Добавлено: 01 фев 2018, 21:40
podarok66
Ищите, здесь vqd на форуме делал подробный разбор подобных случаев. Очень информативный пост. Сам иногда натыкаюсь в ссылках, перечитываю с удовольствием)))
Re: Доступ к устройству с другой подсети.
Добавлено: 02 фев 2018, 00:17
enzain
polparker82 писал(а):Такой вопрос.
1 порт ВАН
2 порт сеть 192.168.1.0/24
5 порт сеть 192.168.5.0/24
В правилах настроено что сети не видят друг друга для безопасности.
Такая ситуация, припустим в сети 192.168.1.0/24 под адресом 192.168.1.155 находится некое общее устройство (ІР камера, сетевой принтер) доступ к которому нужен с сети 192.168.5.0/24 и только для адреса 192.168.5.10
Подскажите как организовать?
Искал по инетах но немного не то. Обычно просто объединение сетей.
Спасибо.
В правилах чего? Файрвола? Роутинга?
Если роутинга - то перед запретом локап маршрута ставите два правила с указанными адресами /32 в обе стороны с лоокап
Если в файрволе - то два правила соответственно (либо адрес лист какие компы должны друг друга видеть) - с чейн форвард и экшен аццепт
Re: Доступ к устройству с другой подсети.
Добавлено: 02 фев 2018, 10:35
polparker82
enzain писал(а):В правилах чего? Файрвола? Роутинга?
Если роутинга - то перед запретом локап маршрута ставите два правила с указанными адресами /32 в обе стороны с лоокап
Если в файрволе - то два правила соответственно (либо адрес лист какие компы должны друг друга видеть) - с чейн форвард и экшен аццепт
у меня в правилах роутинга уже unreachable эти сети.
Будут ли при этом работать правила файрвола?
По совету товарища выше нашел вот такой мануал, подойдет ли?
Re: Доступ к устройству с другой подсети.
Добавлено: 02 фев 2018, 11:35
enzain
polparker82 писал(а):enzain писал(а):В правилах чего? Файрвола? Роутинга?
Если роутинга - то перед запретом локап маршрута ставите два правила с указанными адресами /32 в обе стороны с лоокап
Если в файрволе - то два правила соответственно (либо адрес лист какие компы должны друг друга видеть) - с чейн форвард и экшен аццепт
у меня в правилах роутинга уже unreachable эти сети.
Будут ли при этом работать правила файрвола?
По совету товарища выше нашел вот такой мануал, подойдет ли?
перед правилами unreachable вставте два правила в обе стороны с лоокапом. Тогда файрвол не надо трогать.
Но разруливать так доступность подсетей не правильно. Лучше таки файрволом. И да, то что вы нашли - подойдет, главное прочитать всё, и понять (при этом от правил в роутинге - избавиться нужно)
Re: Доступ к устройству с другой подсети.
Добавлено: 02 фев 2018, 11:45
polparker82
enzain писал(а):(при этом от правил в роутинге - избавиться нужно)
ага, значит правила в роутинге приоритетные?
Re: Доступ к устройству с другой подсети.
Добавлено: 02 фев 2018, 11:50
enzain
polparker82 писал(а):enzain писал(а):(при этом от правил в роутинге - избавиться нужно)
ага, значит правила в роутинге приоритетные?
Это правила для разных задач ...
В файрволе вы разрешаете или не разрешаете пакетам от А до Б бегать, а в правилах роутинга вы говорите что маршрута в сеть назначения роутер не знает. Как бы пакетам идти то можно... но маршрута нет ...
Вы же по факту пытаетесь запретить форвард пакетов. Зачем при этом ломать маршрутизацию? пусть микр знает что маршрут есть, просто пакетам ходить нельзя
Re: Доступ к устройству с другой подсети.
Добавлено: 02 фев 2018, 14:02
gmx
ТС: читать очень внимательно здесь
viewtopic.php?f=15&t=6572