Netzwerk unterteilen

Hi,

suche eine möglichkeit, wie man den Daten-Austausch zu anderen IPs/Adressen verhindern kann. Hierfür habe ich einen alten PC zamgeschraubt (Hardware dürfte reichen). Folgende Struktur:

 +-+ | +-+
PC1----------|S| | |R|-----------PC10
 |W| | |O|-----------PC11
PC2----------|I| | |U|-----------PC12
PC3----------|T|---------Server------------|T|
 |C| | |E|
PC4----------|H| | |R|-----------Internet
 +-+ | +-+
 |
 Jugendbüro | Büro

PC1,2,3,4 sollen keinen Zugriff auf PC10,11,12 haben, sollen aber ins Web gehen können. Andersrum sollten PC10,11,12 auf alles Zugriff haben (und ins Web gehen können).

Ist so eine Trennung möglich?

Am besten wäre das ganze in Form eines Linux-Programmes, weil auf dem Server debian ganz gut läuft.

grtz
michi

Hi,

suche eine möglichkeit, wie man den Daten-Austausch zu anderen
IPs/Adressen verhindern kann. Hierfür habe ich einen alten PC
zamgeschraubt (Hardware dürfte reichen). Folgende Struktur:

±+ | ±+
PC1----------|S| | |R|-----------PC10
|W| | |O|-----------PC11
PC2----------|I| | |U|-----------PC12
PC3----------|T|---------Server------------|T|
|C| | |E|
PC4----------|H| |
|R|-----------Internet
±+ | ±+
|
Jugendbüro | Büro

PC1,2,3,4 sollen keinen Zugriff auf PC10,11,12 haben, sollen
aber ins Web gehen können. Andersrum sollten PC10,11,12 auf
alles Zugriff haben (und ins Web gehen können).

Ist so eine Trennung möglich?

Am besten wäre das ganze in Form eines Linux-Programmes, weil
auf dem Server debian ganz gut läuft.

Du könntest eine IP-Cop (http://www.ipcop.org) auf den Server in der mitte installieren So das dieser als Router für PC 1 - 4 arbeitet. IP-Cop setzt soweit ich weiß auch auf debian auf.

Um dann mit PC 10 ,11 ,12 auf PC 1,2,3,4 zuzugreifen richtest du einfach Forwardings für die benötigten Dienste ein.

Als Add-On könntest du dann noch BOT (Block outgoing Traffic) installieren um für PC 1-4 nur bestimmte dienste zur verfügung zu stellen.

Gruß Bytestorm

Du könntest eine IP-Cop (http://www.ipcop.org) auf den Server
in der mitte installieren

Schon mal gut, …

So das dieser als Router für PC 1 -
4 arbeitet. IP-Cop setzt soweit ich weiß auch auf debian auf.

aber das ist falsch, es ist ein _eigene_ Distro_ auf Basis von LFS.

Um dann mit PC 10 ,11 ,12 auf PC 1,2,3,4 zuzugreifen richtest
du einfach Forwardings für die benötigten Dienste ein.

Ne. Diejenigen, die nur surfen dürfen, kommen an ein „oronges“ Interface (DMZ), die anderen nach „grün“. Orange darf zwar ins Internet, hat aber keinen Zugriff nach grün, andersherum aber geht.

Als Add-On könntest du dann noch BOT (Block outgoing Traffic)
installieren um für PC 1-4 nur bestimmte dienste zur verfügung
zu stellen.

BOT ist zwar nett, aber nicht so ganz einfach einzurichten.

Am besten ins IRC, freenode, #ipcop

Gruß Bytestorm

ipcop ist zwar keine schlechte idee, aber brauche ich einen „kompletten“ Server. ICh hab im Schema absichtlich dem Server die Leitungen von 2 Seiten verpasst, weil dieser auch 2 Netzwerkkarten hat und einer als „Eingang“ von Jugendbüro, der Andere als Netzwerk-„Zugang“. Das Problem ist also eigentlich, wie ich den Verkehr gefiltert durchschleuse. Das müsste doch gehen.

Jetzt hab ich bei ubuntuusers im Wiki etwas über ics-Gateways gefunden. vlt bringt mich des weiter…

Hallo michi,

ipcop ist zwar keine schlechte idee, aber brauche ich einen
„kompletten“ Server.

Das habe ich mir auch gedacht.

ICh hab im Schema absichtlich dem Server
die Leitungen von 2 Seiten verpasst, weil dieser auch 2
Netzwerkkarten hat und einer als „Eingang“ von Jugendbüro, der
Andere als Netzwerk-„Zugang“. Das Problem ist also eigentlich,
wie ich den Verkehr gefiltert durchschleuse. Das müsste doch
gehen.

Die 2x NIC’s habe ich aus der Zeichnung nicht erkannt.
Und eine dritte NIC geht ins Internet? Wenn nicht solltest du das nachrüsten.
Dann haben „Jugendbüro“ und „Büro“ 2 versch. Subnetze und der Server ist Gateway zwischen den beiden und dem Internet.
Über Routing lässt sich der Verkehr zwischen beiden Subnetzen leicht steuern und blocken.

Zusätzlich könntest du über iptables eine aufgesetzte Firewall die IP’s vom Jugendbüro filtern und deren Verkehr zum „Büro“ blocken.
http://wiki.ubuntuusers.de/iptables2?redirect=no
Nichts anderes macht übrigens der IP-Cop.

Jetzt hab ich bei ubuntuusers im Wiki etwas über ics-Gateways
gefunden. vlt bringt mich des weiter…

ICS ist die Internetfreigabe am Windows-Rechner, das war wohl nicht gemeint.
Gib mir doch mal einen Link ich kann sonst nichts finden.

War das ev. ein Schreibfehler und du meintest ISC?
Ich finde dort nur etwas über den ISC-DHCP-Server.
Damit kannst du angeschlossenen Rechnern die IP automatisch zuteilen lassen.
Das hilft dir hier aber nicht weiter.
Ich würde bei so einer überschaubaren Anzahl von Rechnern die IP’s generell manuell vergeben und nicht vergessen sie zu dokumentieren.

Grüsse max