Velmont Skrevet 7. mars 2006 Del Skrevet 7. mars 2006 (endret) Hei, eg har fått eit ganske rart oppsett her. Eg måtte lage ei sikker sone i nettverket; difor har eg sat ei pfSense-maskin som brannmur. (Det er FreeBSD brannmurdistro). Eg har to nettverk, - eit sikra (med eigen DHCP og NAT til det ope/internett) og eit ope. Men det har seg slik at eg har ein skrivar som må vera open (for printserveren er og skal stå i det ope nettverket), men diverre står bak routeren til det sikra nettet. Eg kan ikkje trekkje fleire hundre meter ny kabel; så eg må få la skrivaren (med si eiga faste IP frå det ope nettet) til å snakka ut, gjennom routeren. Eg vil at klientane i den grøne sona skal ha tilgang til skrivaren som står i den raude sona. Skrivaren må ha same IP-subnett som dei i den grøne sona (må vera grøn), einaste problem er at han står bak brannmuren/routeren! Korleis skal eg NAT-e dette her? Er det rett å NAT-a i det heile take? Eg vil at klientane på andre sida berre skal kunna snakka med 100.100.62.10 (skrivaren) utan større problem. Kan dette gjerast? Korleis? :-) I pfSense har eg noko som heitter (i NAT-menyen) *Port Forward * 1:1 * Outbound Dei i den raude sona må òg kunna skriva ut til han; men eg trur eg klårar dèt enkelt routeren router lett til printserveren som står i den grøne sona (gløymde teikne han inn, obs). Endret 7. mars 2006 av Velmont Lenke til kommentar
Zerge Skrevet 7. mars 2006 Del Skrevet 7. mars 2006 Hvis skriveren skal ligge i det grønne subnettet, så kan du ikke nat'e det gjennom. En eventuell løsning er å sette opp en bro mellom NIC'ene i pfSense maskinen, for så å låse denne ned til kun å tillate trafikk inn til printeren. Jeg bruker et slikt system hjemme, for å kunne benytte meg av både offisielle og uoffisielle ip'r bak en firewall med kun 2 nic her hjemme. Lenke til kommentar
Velmont Skrevet 7. mars 2006 Forfatter Del Skrevet 7. mars 2006 Eg har prøvd bridge før, -- men vil ikkje dèt påverke dei andre klientane i den raude sona? Korleis skal eg klåra lata dei vera.... Hum. Kan eg bridga ×kun× IP-addressa til skrivaren? Er dèt mogleg? Det andre oppsettet mitt vil altså ikkje detta ned sjølv om eg legg til noko så eksotisk? Lenke til kommentar
Zerge Skrevet 7. mars 2006 Del Skrevet 7. mars 2006 Ja, du vil kunne la de være. Jeg vet ikke helt hvor paranoid du må være på sikkerhetssiden, men hvis du gjør konfigurasjonen av PF riktig skal ikke dette være noe problem. Du setter altså opp en bridge mellom nic1 og nic2. Samtidig gir du begge IP addresser slik du allerede har gjort. Med PF lager du så regler i 2 kategorier. 1: Regler som gjelder for broen. 2: Regler som gjelder NAT-routinga. Nå er det lenge siden jeg har brukt FreeBSD til denne typen arbeid, jeg prefererer heller OpenBSD til bruk i firewalls/routere, men det skal ikke by på noen særlige utfordringer å sette opp en bro i tillegg. Bare å google litt rundt:) Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå