Colocación de un firewall, sin crear una nueva subred

Navega tus respuestas
4

Tengo un par de redes que tienen varias direcciones IP, y no tengo ninguna opción en cuanto al equipo utilizado para el enrutador de borde de la red (el dispositivo que se conecta tanto a la LAN como al ISP). El sistema que está en el borde de la red es inadecuado para un firewall, por lo que quiero usar una caja de Linux para realizar la función de firewall. Sin embargo, lo que no quiero hacer es subred; una de las redes en las que se debe hacer esto es a / 29, y la otra es a / 28.

Por el bien de este ejemplo, llamaremos a estas redes 10.0.0.0/29 (red A) y 10.0.1.0/28 (red B).

En las redes A y B, la última dirección IP utilizable es la que se usa para el dispositivo de puerta de enlace requerido por el ISP (que es un módem de cable combinado y un conmutador Ethernet de cuatro puertos). Entonces, en A es 10.0.0.6 y en B es 10.0.1.14. (Tenga en cuenta también que estos dispositivos realizan funciones de NAT, utilizando también su dirección reclamada para la puerta de enlace NAT).

Ahora, lo que quiero es tener un sistema en la red A, asignarle IP 10.0.0.1 y convertirlo en el firewall para los otros hosts de la red (es decir, 10.0.0.2, 3, 4 y 5). ).

Sin embargo, de alguna manera no estoy descubriendo cómo puedo hacer eso. No tengo control de la tabla de enrutamiento en el dispositivo de la puerta de enlace del ISP, por lo que no puedo indicarle que enrute los paquetes a mi red a través de una puerta de enlace que controlo en mi red.

Físicamente, la conexión de red se conecta mediante un cable coaxial al cable módem. Los cuatro puertos gigabit del módem por cable se expanden en toda la red:

  • Uno está conectado a un sistema de servidor que tiene un puente y cuatro puertos adicionales en él.
  • Uno está conectado a un enrutador inalámbrico, que alimenta mi red inalámbrica en la parte superior de mi casa.
  • Uno está conectado a una estación de trabajo.
  • Uno está conectado a una impresora.

Así que, lógicamente, es un segmento de red. Lo que me gustaría hacer es conectar el servidor al dispositivo en un solo puerto, y hacer que el servidor alimente la red con su tarjeta de red de múltiples puertos. Pero no puedo pensar en cómo hacerlo sin romper la PI; Me entregan un / 28 en esta red (y como mencioné anteriormente, un / 29 en la otra) y no puedo permitirme perder ninguna dirección IP a la división en subredes, estoy usando la mayoría de ellos.

¿Alguna idea? Y también, si me he dejado algo relevante, hágamelo saber.

    
pregunta Michael Trausch 01.07.2011 - 04:26
fuente

1 respuesta

5

Parece que está buscando un servidor de seguridad de puenteo.

enlace

El siguiente gráfico es del enlace de arriba:

  

enlace

"Un puente es una forma de conectar dos segmentos Ethernet entre sí de manera independiente del protocolo. Los paquetes se reenvían según la dirección Ethernet, en lugar de la dirección IP (como un enrutador). Dado que el reenvío se realiza en la Capa 2, todos los protocolos pueden Ir de forma transparente a través de un puente ".

    
respondido por el Tate Hansen 01.07.2011 - 04:45
fuente

Lea otras preguntas en las etiquetas

Ruta de aprendizaje de seguridad de TI [duplicado] Entradas de motores de búsqueda impares