Как ограничить доступ одной сети к другой?

Question

[daeizer]

Есть 4 сети, один сервер и один пк админа. Нужно чтобы к серверу имели все доступ, а сети не могли обмениваться трафиком. Админ должен иметь доступ ко всем. Как это сделать?

Answer 1

[Армянское Радио]

Настроить межсетевой экран на роутере.

Comments

[Максим Корнеев]

зачем? откуда на роутере фаервол? в схеме фаервола вообще нет и он в данной задаче не нужен.

Answer 2

[CiscoPacTr]

ну межсетевого экрана в Cisco Packet Tracer нет:

access-list 100 deny ip any 192.168.0.0 0.0.3.255
access-list 100 permit ip any any

access-list 104 permit tcp 192.168.0.0 0.0.3.255 host 192.168.4.2 eq ftp
access-list 104 permit ip host 192.168.10.4 host 192.168.4.2

на каждый VLAN (192.168.0.1 до 192.168.3.0)
ip access-group 100 in

и на выход к FTP
ip access-group 104 out

Answer 3

[Максим Корнеев]

не указывать шлюз по умолчанию и явно прописать маршруты для каждой сети до сервера и до админа, а админу достаточно прописать роутер шлюзом по умолчанию или все сети и сервер явно.

Comments

[Армянское Радио]

И как это ограничит пользователя от возможности отправлять пакеты на роутер и через него далее на другие компьютеры в сети?

[Максим Корнеев]

Фокс Йовович, может быть стоило начать с учебника? от отправки не ограничит никак, но дальше роутера трафик не уйдет. а задача именно такая. Вам рассказать как L3 коммутация работает?

[Армянское Радио]

Максим Корнеев, расскажите, очень интересно. Особенно внимательно отнеситесь к объяснению того, почему трафик не уйдет дальше роутера, а потом тыкайте учебником.

[Максим Корнеев]

Фокс Йовович, Вы вообще представляете в каком порядке что происходит при отправке пакета на какой-то адрес? судя по вашим вопросам у Вас какое-то особое видение этого процесса. дальше роутера трафик не уйдет по той простой причине что широковещательные запросы не маршрутизируются, а L3 адрес разрешается в L2 адрес широковещательным запросом. и все таки почитайте учебник - пересказывать его Вам не великое удовольствие.

[Армянское Радио]

Максим Корнеев, я не автор данного вопроса, вы не внимательны.

Что мне мешает как злоумышленнику подключить вместо офисного ПК свою машину, забить в нее MAC адрес офисного ПК и на ней выставить шлюзом по умолчанию роутер?

Дальше я могу перебирать сетевые адреса и слать туда какие угодно пакеты, которые будут доходить до машин в другой сети.

[Максим Корнеев]

Фокс Йовович, у Вас от короны болезнь? Вопрос перечитайте и раздел посмотрите, а свои больные фантазии оставьте себе и своему доктору - они тут никому не интересны.