wi-fi, firewall - один теоретический вопрос

[Rolph]

Коллеги.
Хочется перед переходом к практике прояснить немного теории.

Итак есть некая локальная сеть 192.168.0.0 netmask 255.255.255.0 со шлюзом в инет 192.168.0.1
Есть желаение оснастить сеть устройством беспроводного доступа для гостей. Т.е. задача - пустить гостя в инет, но не разрешить ему обращаться к локальным ресурсам в сети, да и вообще их видеть.

Мое предложение - добавить в сеть роутер, настроить ему LAN типа 192.168.100.0 netmask 255.255.255.0 и добавить в firewall правило вроде:

Цитата:

allow from 192.168.100.2-192.168.100.254 to 192.168.0.1
deny from 192.168.100.2-192.168.100.254 to 192.168.0.2-192.168.0.254

Т.е.разрешить хостам из "гостевой" сети обращаться только к шлюзу локальной сети и запретить им обращаться к любому другому хосту из локальной сети.

Я прав?

[boltliviy]

не очень понятно.
вы собираетесь на роутере поставить LAN с сеткой 192.168.100.0/24 а на WAN что будете назначать? ip из 192.168.0.0/24 ? NAT за NAT получится, может с ума сойти.

если пишете правила на рутере раздающем wifi тогда
allow from 192.168.100.2-192.168.100.254 to 192.168.0.1
имхо не нужна строка - 192.168.0.1 это шлюз по умолчанию для рутера раздающего wifi и пакеты туда должны будут по любому уходить.

при возможности назначать несколько ip на LAN шлюза имеет смысл следующая схема.
на LAN интерфейсе шлюза поднять вторую подсеть, запретить пересылать пакеты между подсетями
поставить точку доступа с ip из второй подсети, указав в качестве шлюза по умолчанию ip LAN (из второй посети) интерфейса шлюза.
такая схема идеологически правильная и администрировать ее легче будет )

[Rolph]

Цитата:

вы собираетесь на роутере поставить LAN с сеткой 192.168.100.0/24 а на WAN что будете назначать? ip из 192.168.0.0/24 ?

Да.

Цитата:

NAT за NAT получится, может с ума сойти.

Да чему там сходить?...

Цитата:

при возможности назначать несколько ip на LAN шлюза имеет смысл следующая схема.
на LAN интерфейсе шлюза поднять вторую подсеть, запретить пересылать пакеты между подсетями
поставить точку доступа с ip из второй подсети, указав в качестве шлюза по умолчанию ip LAN (из второй посети) интерфейса шлюза.
такая схема идеологически правильная и администрировать ее легче будет )

Тоже интересная мысль.
Но дело в том, что существующий шлюз - слишком тупой для таких вещей... (а может быть - и не тупой, пойду rtfm-мить). Значит, поменяю на правильный роутер. В первой локальной подсети все остается по-прежнему, а вторая получается гостевой. Если подберу правильный роутер, то еще и ограничения по ширине канала в гостевой подсети поставить смогу. Соответственно - в гостевой подсети поставлю нужное кол-во AP (не роутеров).

[boltliviy]

Цитата:

Сообщение от Rolph

Да.
Да чему там сходить?...

был у меня предыдущей работе dlink dir 320 что-ли, стоял за циской 2811
поднимал отдельный wifi сегмент как раз для аналогичных целей.
с таким же логическим конфигом как и вы.
пока на циске для ip назначенного на wan dlink не назначил static NAT - ничего не работало )
пришлось потратить внешний ip для sNAT, ибо имевшийся у меня dlink в режим точки доступа не желал переходить.

[Rolph]

Ну в общем, да... неисповедимы пути...

[boltliviy]

кстати о выборе рутера.
если будете шейпить трафик и общее колво клиентов будет (каждая точка как клиент + ethernet клиенты, для них хоть трафик и не шейпится, но ресурс проца будет потрачен на определение - шейпить, не шейпить) больше 10-12 лучше забыть про soho рутеры, слишком большая нагрузка получается.

я сейчас вовсю декстопы старенькие использую качестве рутеров - накатил туда pfSense и рули из вебморды )
по производительности (даже если P3 800 mhz + 256 mb) много лучше чем soho dlink или иже с ним.

[Станислав SPb]

Я бы поставил 3 роутера: 1-для гостей, 2-для внутренней сети, 3- для интернета. И больше ни о чем думать не надо. Роутеры стоят копейки-даже дешевле стареньких компов- про энергопотребление и шум я вообще молчу.

[boltliviy]

Цитата:

Сообщение от Станислав SPb

Я бы поставил 3 роутера: 1-для гостей, 2-для внутренней сети, 3- для интернета. И больше ни о чем думать не надо. Роутеры стоят копейки-даже дешевле стареньких компов- про энергопотребление и шум я вообще молчу.

стесняюсь спросить - зачем роутер для внутренней подсети и отдельный роутер для интернета?

[7erge]

Даешь каждому пользователю по персональному роутеру!

[Станислав SPb]

Цитата:

Сообщение от boltliviy

стесняюсь спросить - зачем роутер для внутренней подсети и отдельный роутер для интернета?

Чтобы не мучиться с настройками и разграничениями прав. Обычный роутер (не WiFi) стоит рублей 500?