Насколько я понимаю, хосты в разных подсетях не могут взаимодействовать друг с другом, если где-то в обеих подсетях нет маршрутизатора, который пересылает трафик между ними.
У меня есть две подсети в сети, скажем: 192.168.0.0/24 и 192.168.1.0/24. Я хочу создать между ними маршрут с брандмауэром, используя Linux-сервер, подключенный к обеим подсетям. Брандмауэр будет реализован в iptables.
Все узлы, подключенные к сети, будут доверенными, и пользователи не будут иметь прав администратора для изменения своей сетевой конфигурации (т.е. просто для подключения к другой подсети).
Если предположить, что все, что я сказал выше, не полная чушь, каковы возможные способы, которыми пользователь, подключенный к одной подсети, может обойти брандмауэр и получить доступ к другой подсети?
Очевидно, что мне приходят в голову просто подключение ненадежного хоста.
Чтобы уточнить: я пытаюсь создать собственный брандмауэр (не готовый к использованию). Он должен быть интегрирован в существующее решение, которое уже работает на Linux, так что эта сторона вещей будет исправлена.
Брандмауэр позволяет определять зоны на основе физических сетевых адаптеров или VLAN.
Мне кажется, что физические зоны, основанные на LAN, восприимчивы только к тому, кто физически подключается к сети, чего они не должны. Помимо шифрования, на данном этапе все сводится к физической безопасности. Предполагая, что вы не неправильно сконфигурировали коммутатор где-то, чтобы открыть конечную точку, несущую трафик dot1Q, или разрешить атаку с перескоком VLAN, зоны на основе VLAN по сути такие же.
Корень моего вопроса заключается в том, можно ли добавить зоны на основе подсети (работающие на одном физическом оборудовании) в список вещей, которые могут быть реально защищены межсетевым экраном. Это, конечно, будет зависеть от того, что все подключенные хосты являются «доверенными», и все пользователи (к которым применяется брандмауэр по крайней мере) не имеют прав администратора, чтобы вмешиваться в настройки сети.
Как сетевой администратор, я отвечу на это в двух частях:
Во-первых, если у вас есть устройства, работающие в двух разных подсетях в одной и той же логической / физической LAN, тогда у вас будет практически нулевая безопасность в этой LAN между подсетями. Хотя вы ~ думаете ~ устройства не смогут получить доступ ни к чему, вы не можете быть уверены, что у вас не будет мошеннического устройства. Из-за этого я собираюсь прямо предположить, что это не так. После этого довольно легко настроить Linux Box с IPTables в качестве маршрутизатора. Это довольно подробно описано в конфигурации Linux-бокса, и некоторые особенности могут зависеть от того, какой именно дистрибутив вы используете, но базовый блок - это два сетевых адаптера, по одному подключенному к каждой сети, а затем некоторое программное обеспечение, которое будет выполнять маршрутизацию (легко find, даже включенный в некоторые дистрибутивы), а затем конфигурацию IPtables. Подключите NIC1 к 192.168.0.0/24 и NIC2 к 192.168.1.0/24, и у вас будет мост между двумя подсетями для трафика, который должен проходить между ними.
Вот вторая часть: вам было бы намного проще приобрести (даже подержанный) маршрутизатор от известного производителя, чем вам собрать и настроить этот Linux-сервер для выполнения той же задачи. Большинство реальных маршрутизаторов способны выполнять списки ACL, что на самом деле касается того, что IPtables будет делать для большей части конфигурации, а некоторые маршрутизаторы способны выполнять межсетевые экраны на основе зон с проверкой пакетов. Подержанный Cisco 1841 не обойдется вам дорого и будет примерно таким же «законным», как комбо Linux RouterWall, о котором вы спрашиваете. Немного гугл-фу, и вы, вероятно, сможете найти достаточно команд Cisco CLI, чтобы довольно быстро выправить вас, получить этот ящик и сделать то, что вам нужно, менее чем за двадцать минут. Я не против того, чтобы кто-либо делал что-то «трудным» просто для удовольствия ... но если это не ваша цель, мне кажется, что вы очень стараетесь решить проблему с помощью более сложного ответа чем сама проблема.
Я не могу говорить от имени Linux, но у меня вопрос попроще: чего вы здесь пытаетесь достичь? (Я собираюсь бесцельно гадать и посмотреть, смогу ли я приблизиться, но вы должны уточнить свой вопрос.)
Похоже, вы пытаетесь соединить две подсети и разрешить трафик. Хорошо, но если подсети физически разделены, вы не можете просто использовать другую подсеть, если интерфейс маршрутизации не существует в этой подсети. Это означает, что даже если вы измените свой IP-адрес на 192.168.0.223 в подсети 192.168.1.x, он не сможет выполнить маршрутизацию к вашему шлюзу (Linux), потому что он просто находится в неправильной подсети.
Обычно подсети физически или логически разделены. Либо потому, что они находятся на другом оборудовании, либо с использованием виртуальных локальных сетей или какого-либо другого логического разделения. Это означает, что даже если у вас есть IP-адрес из одной подсети, он не будет работать в другой, потому что устройства, используемые для маршрутизации трафика из этой подсети, не работают.
Что касается «доверенных» хостов, любой, кто может что-то подключить к вашей сети, будет недоверен, но если вы не аутентифицируете клиента (IPsec / сертификат / и т. Д.), Можно изменить MAC и IP-адрес практически в любой сети. адаптер. Так что вы не можете просто «доверять» им таким образом. Поскольку я не знаю, что вам нужно, я не могу это комментировать. Существуют методы, доступные для переключения оборудования, такого как 802.1X, которое может быть тем, что вы ищете.