Разграничение доступа двух сетей через шлюз Ubuntu server

Здраствуйте, не давно я стал заниматься работой дистрибутива Ubuntu server.И на данном этапе мне понадобилось разраничить две локальные сети через шлюз. Сейчас поясню в чем идея.
И так, существую две локальные сети, у каждой сети есть свой доступ в инренет (см. рисунок). Далее перед входом в интернет стоят в каждой сети стоит шлюз, который присваевыет Ip адреса каждой машине своей сети (с этом я разобрался) и блокирует досут в локальную сеть из внешнего инернета. но эти две сети необходимо связать через шлюз, к которому подключены эти сети и скажем файловый сервер. Так вот, как же прописать имено в шлюзе чтобы Локальная сеть 2 немогла пользоваться интернетом локальной сети 1 и наоборот, а пользовались только своим интернетом, кроме этого так же необходжимо ограничить досуп между сетями,то есть каждая локальная сеть имела бы доступ к только серверу который подключен к шлюзу 3(который их связывает) и не имела доступа между собой. И вот еще вопрос, сисадмину необходимо будет иметь доступ к этим двум сетям, без ограничений, то есть если он находится в сети 1 то он может без ограниений зайти в сеть 2, так же если он бы находился в сети 2 имел бы доступ в сеть 1 и к серверу соотвественно( тоесть дать неограниченые права для доступа к сетям и серверу)
В данном Шлюзе я делаю из системного блока с тремя сетевыми картами (то есть будет как маршрутизатор), на которой и установлен Ubuntu servet, буду рад услышать идеи по поводу моего вопроса. Зарнее спасибо

Миниатюры

 

0

в подсетях прописать маршрут к серверу
в шлюзе 3 в файерволе прописать что пакеты из сетевой 1 (подсети 1) сбрасывать, если у них назначение сетевая 2 (подсеть 2), в этом правиле дрес админской машины прописать как исключение

1

Сообщение от dmkhn в подсетях прописать маршрут к серверу в шлюзе 3 в файерволе прописать что пакеты из сетевой 1 (подсети 1) сбрасывать, если у них назначение сетевая 2 (подсеть 2), в этом правиле дрес админской машины прописать как исключение

Спасибо, а не подскажите какой параметр ufw (файрволла) отвечает за сброс значения, или если не затруднит напишите пример.

вот это не то? или я непонял(

IPTABLES -A FORWARD -i eth3 -j ACCEPT //для шлюза 3
IPTABLES -A FORWARD -i eth2 -j DROP //запрет для подсети 2
IPTABLES -A FORWARD -i eth1 -j ACCEPT //открыт для подсети 1

а для админа прописывать в squid или там же прописывать?

0

Хреновая схема
Сначала нужно разделить по IP-никам локальные сети - чтобы они имели разные IP.
Например так
локальная сеть 1 - 192.168.0.0/24
локальная сеть 2 - 192.168.1.0/24
Тогда хоть будет возможность вообще подключить ШЛЮЗ_3

Дальше по поводу самой сети
Удобнее сделать иерархическую организацию сети.
Что за компы ШЛЮЗ_1 и ШЛЮЗ_2 ?
Я бы вставил в ШЛЮЗ_1 сетевую карту и подключил к ШЛЮЗ_3
Аналогично в ШЛЮЗ_2 сетевую и подключил к ШЛЮЗ_3
Тогда не придется ничего прописывать на клиентах - у каждого клиента будет свой default gateway на свой ШЛЮЗ_1 или ШЛЮЗ_2.

Остается только прописать доступ в iptables на ШЛЮЗ_3

В сети 2 у админа тоже должен быть фиксированный IP-адрес
Чтобы было чего прописывать в правилах

При текущей схеме придется
У каждого клиента из локальной сети 1 прописывать маршрут
1) до локальной сети 2
2) до локальной сети сервера

У каждого клиента из локальной сети 2 прописывать маршрут
1) до локальной сети 1
2) до локальной сети сервера

При этом при смене конфигурации возможно придется эти маршруты переписывать
IMHO проще один раз переделать нормально

1

Сообщение от odip Сначала нужно разделить по IP-никам локальные сети - чтобы они имели разные IP. Например так локальная сеть 1 - 192.168.0.0/24 локальная сеть 2 - 192.168.1.0/24

С этим я разобрался. Это я понял

Сообщение от odip Что за компы ШЛЮЗ_1 и ШЛЮЗ_2 ?

ШЛЮЗ_1 и ШЛЮЗ_2 это компы, на которых тоже стоит Ubuntu server, но я их использую только для того чтобы они каждой своей подсети присваивали апи адреса рабочим машинам и блокировали вход в подсети из вне (через инет).
а ШЛЮЗ_3 я использую в качестве разграничителя между подсетями, но разрешен доступ к серверу


Вообщем я вашу идею понял.Спасибо за ответ. Попробую реализовать.

0

ШЛЮЗ_1 и ШЛЮЗ_2 это компы, на которых тоже стоит Ubuntu server

Ну тогда вообще проблем нету

В таком случае можно вообще без ШЛЮЗ_3 обойтись
берем switch
К switch подключаем ШЛЮЗ_1, ШЛЮЗ_2 и сервер
Но придется прописывать маршруты на сервере - до локальной сети 1 и 2

Можно сделать Internet в миниатюре
switch
К switch подключаем ШЛЮЗ_1, ШЛЮЗ_2, ШЛЮ3_3
Тогда настраивать маршруты и управлять маршрутизацией достаточно только на шлюзах

1

Сообщение от odip Тогда настраивать маршруты и управлять маршрутизацией достаточно только на шлюзах

а вы немогли бы какой нибудь подробный пример настройки маршурутов показать?

или если я правильно понял то настройку маршурутов можно указать так?

route add -net 192.168.0.0 netmask 255.255.255.0 eth0
route add -net 192.168.1.0 netmask 255.255.255.0 eth1
если не так то поправьте меня

и еще вопрос, как теперь организовать чтобы шлюз 3 блокировал вход в инет подсети 1 через подсеть 2, а так же блокировал вход в инет подсети 2 через подсеть 1?

0