NAT & pakkefiltrering i LAN

[erikindre]

En skole har et større nettverk tilknyttet bredbånd som alle elevmaskiner er tilknyttet (20-25 stk). Tidligere har adminstrasjon og lærere vært på eg eget nett (8-10 maskiner) med egen ISDN tilkobling.

 

Administrasjonsnettet skal nå knyttes sammen med resten av nettet med en brannmur mellom LAN-segmentene for å få tilgang på bredbåndstilkoblingen fra adm. Ser for meg en relativt enkel løsning, f.eks med NAT og pakkefiltrering. Det finnes ikke særlig mye konfidensiell info i adm.nettverket uansett, men det er lovpålagt å separere adm. nettet fra resten av LAN. Spørsmålet er om en vanlig bredbåndsrouter her kan bruker som en enkel brannmur? Kan WAN port på en router av samme type som folk bruker til ADSL kobles på et vanlig lan nettverk som f.eks kjører DHCP?

 

I tilfelle ikke, HVOR finner man en sånn router/brannmur sak som støtter NAT og packet-filtering?

[erikindre]

Hmm... dette burde da være et enkelt spørsmål? Kan ikke noen gi meg en ja eller nei?

 

Evt. en link til noe brukbart utstyr?

Endret 19. mars 2004 av erikindre

[spez]

Du kan løse dette ved å opprette tre segmenter. Slik:

            bredbåndsruter
                    |
      segment 1: fellessone. "dmz"
          /                   \
     lanruter1              lanruter2
         |                          |
segment 2: elevnett    segment 3:adm.nett

lanruter1 ruter trafikk til bredbåndsruteren. Og sperrer trafikk fra adm.nett segmentet.

lanruter2 ruter trafikk til bredbåndsruteren. Og sperrer trafikk fra elevnett segmentet.

Dette er vel en grei løsning kostnadsmessig sett (skulle vel passe bra for en skole?) da ruterne som kreves ikke nødvendigs trenger å være så dyr.

 

 

Et til alternativ vil være å kjøpe en switch med mulighet for nettverkssegmentering og rutingsfunksjonalitet..Men da må du gjerne "litt" opp i pris

[covah]

Kan WAN port på en router av samme type som folk bruker til ADSL kobles på et vanlig lan nettverk som f.eks kjører DHCP?

Ja, ikke noe problem.

[erikindre]

Du kan løse dette ved å opprette tre segmenter. Slik:

            bredbåndsruter
                    |
      segment 1: fellessone. "dmz"
          /                   \
     lanruter1              lanruter2
         |                          |
segment 2: elevnett    segment 3:adm.nett

lanruter1 ruter trafikk til bredbåndsruteren. Og sperrer trafikk fra adm.nett segmentet.

lanruter2 ruter trafikk til bredbåndsruteren. Og sperrer trafikk fra elevnett segmentet.

Dette er vel en grei løsning kostnadsmessig sett (skulle vel passe bra for en skole?) da ruterne som kreves ikke nødvendigs trenger å være så dyr.

 

 

Et til alternativ vil være å kjøpe en switch med mulighet for nettverkssegmentering og rutingsfunksjonalitet..Men da må du gjerne "litt" opp i pris 

Hvorfor lanrouter1? Er den nødvendig? Hva mener du med at den sperrer trafikk "fra adm.nett segmentet". Det gjør jo ingenting at adm. har tilgang til elevnettet, og bredbåndsrouteren sperrer jo for inngående trafikk fra WAN? Og hva er dmz? Sorry om det er dumme spm. Jeg studerer til data.ing. og prøver å hjelpe min far, men er bare kommet halvveis i studiet ennå :-)

Endret 19. mars 2004 av erikindre

[trygvelo]

Dette lar seg enkelt løse med en egen ruter. De fleste bredbåndsrutere har dessverre ikke mulighet for mer enn ett lokalt nettverk. Har ikke vært borti så mange bredbåndsrutere dessverre, har stort sett brukt dedikerte rutere med flere interface'r, så dette er jeg ikke 100% sikker på...

 

Så vidt jeg vet støtter så godt som alle bredbåndsrutere NAT og har innebygd pakke filtrering (brannmur). Når det gjelder generell info om IP, routing ol kan du finne mer info her:

 

TCP/IP og routing

 

Slik vi har satt det opp på jobben har vi en dedikert ruter PC med 3 nettverkskort som tar seg av rutingen. Vi har ett hovednett, ett nett for kursrom og selvagt selve internett tilkoblinga. De to interne nettene har ingen kontakt med hverandre.

 

Du kan bruke f.eks. windows 2000 server, MicroTik Router OS eller Linux.

 

Håper dette var til noe hjelp

[erikindre]

Dette lar seg enkelt løse med en egen ruter. De fleste bredbåndsrutere har dessverre ikke mulighet for mer enn ett lokalt nettverk. Har ikke vært borti så mange bredbåndsrutere dessverre, har stort sett brukt dedikerte rutere med flere interface'r, så dette er jeg ikke 100% sikker på... 

Hva mener du med mer enn et lokalt nettverk? Jeg likte godt modellen til spez, men skjønte ikke helt hva han skulle med lanruter1. Hva tror du om denne?

 

IP og routing har jeg god greie på. Har kommet halvveis i faget kommunikasjonsnett og holder faktisk akkurat på med routing-algoritmer og IP-datagram. Men et sånt fag dekker jo stort sett alt det grunnleggende og bakgrunnstoff, mens forskjellige nye teknologier ikke er med...

 

edit: er du høgskolestudent selv trygvelo? (Sjekket linken din... :-) )

Endret 19. mars 2004 av erikindre

[spez]

Hvorfor lanrouter1? Er den nødvendig?

lanruter1 (og 2 for så vidt) er ikke nødvendig dersom du skaffer en tre benet ruter med mulighet for segmentering. Men de er gjerne dyr!

Oppsettet ville da bli slik:

         WAN
          |
    ruter (3 benet)
     /         \
  elevnett  admnett

Her vil ruteren sperre trafikk mellom de to nettene slik at de ikke har kontakt.

Hva mener du med at den sperrer trafikk "fra elevnett segmentet".

Du kan si at den sperrer trafikk som måtte komme fra adm.nettet som er ment til elevnettet. - Slik at adm.nettet ikke har tilgang til elevnettet. Forstod det slik at de måtte være separert.

Edit: Du sier du er kjent med IP og ruting. Så hindring av trafikk mellom de to nettene kan jo enkelte løses med og rett og slett ikke ha ruting mellom de to

Og hva er dmz?

Om en skal være pirekte er dette ikke en ordentlig DMZ da du ikke tilbyr tjenester (f.eks. WEB/FTP) til omverdenen (Internet). Derfor brukte jeg anførseltegn rundt DMZ. Men det er i dette tilfelle en nøytral sone (segment), som ligger mellom Internet og de interne nettverkene. Som er en del av det å sette opp en DMZ. Det står for så vidt for demilitærisertsone. Du har sikkert vært i militæret

Endret 19. mars 2004 av spez

[erikindre]

OK, skjønte det, men det er altså OK med trafikk fra adm.nett til elevnett, bare ikke andre veien. Kan det ikke da være nok med en sånn løsning:

 
        WAN
           |
  bredbåndsrouter
           |         
      switch 
      /     \
elevnett   router
                  \
                 switch
                      \
                      adm.nett

 

Kan kanskje legge til at det står en Win2k server med noe domenegreier og DHCP i nettet nå... Men den skal jo ikke brukes i adm.nettet

Endret 19. mars 2004 av erikindre

[erikindre]

Ups, det så fælt ut... hvorfor blir det sånn? Kanskje du skjønte det likevel...

 

*fixet*

Endret 19. mars 2004 av erikindre

[spez]

OK, skjønte det, men det er altså OK med trafikk fra adm.nett til elevnett, bare ikke andre veien. Kan det ikke da være nok med en sånn løsning:

 
        WAN
           |
  bredbåndsrouter
           |         
      switch 
      /     \
elevnett   router
                  \
                 switch
                      \
                      adm.nett

 

Kan kanskje legge til at det står en Win2k server med noe domenegreier og DHCP i nettet nå... Men den skal jo ikke brukes i adm.nettet

Jeg satt faktisk og tegnet en lignende modell da du nevnte at adm. nettet kunne ha kontakt til elevnettet. Men den modellen er helt grei. Husk at ruter mellom elevnettet og adm. nettet må sperre trafikk og tilkoblinger med kilde i elevnettet som er ment til adm. nettet. Ellers kan elever få tilgang dit ved og manuellt legge til ei rute til adm. nettet på klientmaskinene. Det kan de uansett om det ikke er restriksjoner for det i Win2k domenet. Men gjør de det, så er det hvertfall sperret tilgang.

 

Da det er en dhcp i elevnettet kan ruteren settes til å forkaste bootp og dhcp pakker. Slik at de ikke når adm. nettet.

[Morpheus-]

off-topic:

 

erikindre: heter faren din gunnar?

[erikindre]

off-topic:

 

erikindre: heter faren din gunnar?

Hehe, ja...jobber du i sande kommune?

[Morpheus-]

ja, tilfeldigvis

[erikindre]

Hehe... jammen så festlig da! Bruker en del tid på å sitte her inne og tenke ut fikse løsninger som du ser :-) Snakket tilfeldigvis med pappa tidligere i dag, og tenkte jeg kunne de hva jeg fant ut.

 

Har du noen andre gode løsninger? Har tenkt litt på det du sa om flere kort i server (måtte vel egentlig hatt 3? En inn og 2 ut?)

[Morpheus-]

Ja, det er det som er rimeligst, vis det er "lovlig" og da blir det jo 2 fluer i en smekk pga. da får admin nettet også en server, noe som hadde hvert kjekt.. Må vel lage et under-domene eller.no..

 

Problemet er også på 4 andre skoler, uten server, så er bra du forsker:)

 

Går vel og ha servern til elev-nettet og en egen router med dhcp til admin-nettet også da men, har ikke forska så mye på det enda...

 

Mye annet og gjøre på jobb akkurat nå.

 

Edit: 3 stk ja, en inn og 2 ut, ett til admin og ett til elev.

Tok forresten backup for første gang på torsdag, var vel på tide

Endret 19. mars 2004 av Morpheus-

[erikindre]

Mye annet og gjøre på jobb akkurat nå.

Hehe, tenker meg det! Du har jo 40 maskiner å pussle sammen! Det må jo være koselig å styre med?

 

Jeg har så lite å ta meg til at jeg tar på meg oppgaver som ikke en gang er mine, hehe Skulle nok brukt litt mer tid på annet skolearbeid. (Blir stort sett bare kommunikasjonsnett...).

 

Husk forresten på at en router ikke koster mer enn 5-600 kroner...

 

Nå er det vel snart sengetid! Snakkes!

[Morpheus-]

Ja, blei 41 stk byggesett og 3 stk bærbare totalt...

Jepp, routere er nesten gratis i forhold til for noen år siden..

 

Men er ikke alltid det billigste er det lureste valget, men finner vel en god løsning på det til slutt...

 

Snakkes!

[inaktiv000]

        _____ [linuxbox]______
       /          |           \
 [elevnett]  [bredbånd] [lærernett]

 

Altså en linuxmaskin med tre nettverkskort Billig og greit.

Endret 20. mars 2004 av cecolon

[erikindre]

Linux er ikke aktuelt da ingen av de ansvarlige har noen form for kompetanse på det. Derimot er dette et alternativ som er aktuelt å sette opp på win2k serveren som du ser nevnt over..