VLAN su ultimo ramo della rete ("foglia")

[mfran2002]

ciao a tutti,
volevo mettere su un piccolo webserver, ma il mio router, in comodato, non mi consente di creare VLAN.

Allora comprerei uno switch che puo' farmi creare VLAN.

Il mio dubbio:

devo necessariamente piazzare il PC-webserver in camera mia, dove arriva un solo cavo ETH e dove al momento sto usanto uno piccolo hub per stampante, portatile etc...

per cui, dovrei piazzare il nuovo switch in camera mia, a monte dell'hub, come in figura allegata.

Secondo voi puo' andare bene come struttura?
grazie mille a tutti

[Pierzucchi]

Per quale motivo vuoi usare le VLAN?

[mfran2002]

ho uno switch che mi consente di creare VLAN e pensavo di mettere il webserver su unavlan separata dal resto della mia rete.
non vorrei fare acquisti per firewall o router.

speravo che, mettendo il webserver su una VLAN, e facendo port forwarding dal router ISP, per la porta 80, sul webserver, potesse funzionare e al tempo stesso separarlo dalla mia rete di casa... per sicurezza.

Potrei metterci su anche un free firewall tipo sygate

[Pierzucchi]

Ma il modem operatore gestisce le vlan e una subnet?
Temo di no.
Ti conviene mettere un router in cascata LAN-WAN in modo da avere una rete isolata dal resto.

[mfran2002]

ciao Pierzucchi e grazie per la risposta

se per modem operatore intendi il router del mio provider ISP, allora no, mi han gia risposto che non lo fanno... la la configurazione bloccata e infatti non trovo nulla sul pannello di controllo.

io speravo di poter utilizzare questo switch, tra l'altro nuovo, che puo' gestire le VLAN, senza acquistare altro.

secondo te non si riesce proprio nel modo che speravo?

grazie!

[Pierzucchi]

No

[mfran2002]

Quote:

Originariamente inviato da Pierzucchi

Ti conviene mettere un router in cascata LAN-WAN in modo da avere una rete isolata dal resto.

cerchero' di seguire il tuo consiglio, ma ho bisogno che tu mi spieghi meglio, abbi pazienza.

che intendi in cascata LAN-WAN?
va messo immagino a valle del router ISP, e poi da li come divido le due sottoreti (webserver e resto della casa), che a questo punto sono due vere e proprie LAN mi par di capire

grazie!

[Pierzucchi]

Quote:

Originariamente inviato da mfran2002

cerchero' di seguire il tuo consiglio, ma ho bisogno che tu mi spieghi meglio, abbi pazienza.

che intendi in cascata LAN-WAN?
va messo immagino a valle del router ISP, e poi da li come divido le due sottoreti (webserver e resto della casa), che a questo punto sono due vere e proprie LAN mi par di capire

grazie!

Si, a valle del modem ISP. Il cavo ethernet lo colleghi alla porta LAN del modem dell’operatore e nella WAN del router.
Poi segui una delle tante guide presenti su internet.
In questa maniera tutto ciò che colleghi al router è già separato rispetto a ciò che colleghi al modem ISP. Sono due reti diverse.

Ti consglio di farti aiutare da qualcuno "in presenza" anche per gestire gli aspetti legati alla sicurezza.

[mfran2002]

ok grazie
ti allego lo schema come mi pare di aver capito si debba fare, mi dici se e' corretto?
se cosi fosse, dovrei poi semplicemente mettere una regola di forward del traffico che arriva sulla porta http 80 verso il webserver

unico dubbio: per avere pero' separate LAN4 (quella a cui collegherei il router nuovo e quindi il solo webserver) dalle altre dovrei assegnargli una rete con indirizzi IP diversi giusto?

per esempio: la mia lan 192.168.0 e LAN4 192.168.3


Per il router: ho realizzato di avere da parte un TPLINK TD-W9970, secondo te potrebbe andare bene?


PS: purtroppo non conosco nessuno che sappia fare queste cose, mi devo arrangiare da me...

[Pierzucchi]

Più o meno si, ma l'hardware è pessimo.
Ripeto, fatti aiutare.

[mfran2002]

provero' a chiedere a qualche amico, ma intanto devo iniziare a capire cosa devo fare piu' precisamente possibile

perche' dici piu' o meno?

[mfran2002]

aggiornamento:

ho seguito il consiglio di mettere un router in cascata al modem ISP (vedi immagine allegata):

1. ho collegato il mio router TPLINK (porta LAN/WAN) ad una delle porte LAN del router ISP.
2. ho collegato il mio PC webserver ad una porta LAN del mio router TPLINK

a questo punto ho voluto verificare che effettivamente la mia rete di casa non raggiungesse il webserver, anche solo con un ping, ma invece lo raggiungo
io lo vedo e, peggio, lui vede me...

avevo capito che in questo modo le due sottoreti sarebbero state "disaccoppiate"... devo fare qualche altra cosa? sul router TPLINK?

grazie!

PS: sul router TPLINK non ho ancora fatto nulla, solo acceso e collegato (configurazione di fabbrica insomma)

PPS: prima di spendere vorrei fare con quel che ho in casa, poi vedremo

PPPS: non ho nessuno che mi puo' aiutare, ho chiesto in questo forum apposta...

[Kaya]

Quote:

Originariamente inviato da mfran2002

a questo punto ho voluto verificare che effettivamente la mia rete di casa non raggiungesse il webserver, anche solo con un ping, ma invece lo raggiungo
io lo vedo e, peggio, lui vede me...

Qua dovresti studiare un po come funziona il routing e il natting.
Non è possibile che quello che si trova a valle del secondo router, se collegato tramite la sua porta WAN alla porta LAN, veda il webserver.
Per capirsi (e metti anche un po di informazioni come le classi IP usate nel disegno).
Metto dei dati di esempio ma il concetto rimane.
LAN_CASA : 192.168.0.0/24 GW 192.168.0.254
LAN_WEBSERVER: 192.168.1.0/24 - GW 192.168.1.254

SE il GW 192.168.1.254 è collegato alla lan_casa tramite porta lan
LAN_WEBSERVER ACCEDE alla LAN_CASA
LAN_CASA non accede a LAN_WEBSERVER (salvo non vengano configurate specifiche rotte di routing)

Quindi, se il tuo scopo è: HEY voglio che il mio webserver non si abbia accesso da alcuni dispositivi, tira su due regole di firewall/iptables che blocca tutto tranne quello che ti interessa come ip sorgente (o contrario)

Anche perchè io qua... mica ho capito cosa vuoi fare veramente..

[Pierzucchi]

Quote:

Originariamente inviato da Kaya

Qua dovresti studiare un po come funziona il routing e il natting.
Non è possibile che quello che si trova a valle del secondo router, se collegato tramite la sua porta WAN alla porta LAN, veda il webserver.

Vero. Dovrebbe studiare.
Se ha collegato in cascata il TD-W9970 (resettato) LAN-WAN in realtà è LAN LAN. Per quel router la porta WAN va abilitata dall'interfaccia perchè è condivisa su una della quattro porte LAN....

[mfran2002]

grazie Kaya per le tue spiegazioni, molto utili.

io vorrei che il mio webserver fosse accessibile dall'esterno, ma al tempo stesso vorrei isolarlo dal resto della rete di casa

avevo seguito il consiglio di mettere un secondo router in cascata al modem-router ISP ed a questo secondo router collegare il solo webserver.
avevo capito che questo fosse sufficiente per "disaccoppiare" rete di casa dal webserver.

Per cui io avevo solo fatto i collegamenti suggeriti ma le due "reti" si vedevano (anche perche' appartenevano alla stessa classe IP 192.168.178.0/24 GW 192.168.178.1).

Adesso ho assegnato una diversa classe IP alla LAN_WEBSERVER (vedi allegato):

CASA:
IP modem-router ISP: 192.168.178.1
LAN casa: 192.168.178.0 (GW 192.168.178.1)


WEBSERVER:
IP router (lato ISP): 192.168.178.149
IP router (lato webserver): 192.168.1.1
IP webserver: 192.168.1.2


adesso quindi al router TPLINK e' stato assegnato un indirizzo dal modem ISP (sulla sottorete di casa), ed ha un indirizzo su una diversa sottorete verso il webserver

Al momento sono riuscito a bloccare il traffico dalla home_lan al webserver

adesso devo capire come poter fare anche il contrario (che poi e' quel che mi interessa di piu...)

[mfran2002]

ok, per il momento ho raggiunto l'obiettivo che volevo, forse non e' il modo migliore ma pare funzioni

per bloccare il traffico da webserver a homeLAN ho messo una regola sul firewall del router tplink che blocca tutto da classe ip webserverLAN (192.168.1.0/24) a classe ip LAN (192.168.178.0/24).

per raggiungere il webserver dall'esterno ho messo due forward sulla porta 80:

uno sul modem ISP (gira il traffico http su router tplink)
l'altro sul router TPLINK (gira il traffico http su webserver)

unico inghippo, per ora, e' che cosi non raggiungo il webserver dall'esterno con teamviewer, per poterlo fare, dovrei togliere il modemISP dalla regola sul firewall....

[Kaya]

Come al solito UCAS: ufficio complicazione affari semplici.

Avevi due soluzioni molto più rapide.
1) DMZ (se il tuo router lo supporta)
2) Attivare il firewall sul webserver e filtrare per ip.

Poi non capisco il senso di tutto questo, però le motivazioni sono affari tuoi...

[mfran2002]

1) DMZ (se il tuo router lo supporta)
non lo supporta

2) Attivare il firewall sul webserver e filtrare per ip.
ah be certo... e che filtri se non sai da chi arrivano le richieste?

Poi non capisco il senso di tutto questo
pazienza

però le motivazioni sono affari tuoi...
esatto, io non ho chiesto ne' di capire ne' di approvare, ho chiesto un aiuto, ben diverso. ma mi pare sia dura a farla capire...
e alla fine ho fatto da me...
la prossima volta basta non rispondere

grazie

[Kaya]

Quote:

Originariamente inviato da mfran2002

1) DMZ (se il tuo router lo supporta)
non lo supporta

2) Attivare il firewall sul webserver e filtrare per ip.
ah be certo... e che filtri se non sai da chi arrivano le richieste?

Perchè adesso le filtri? "Blocchi" unicamente la classe interna 192.168.0.0/24 della lan...
pertanto

Codice:

iptables -A INPUT -s 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 80 -j ACCEPT
<insert further allowed list here>
iptables -A INPUT -m conntrack -j ACCEPT  --ctstate RELATED,ESTABLISHED
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j DROP

Quote:

Originariamente inviato da mfran2002

Poi non capisco il senso di tutto questo
pazienza

però le motivazioni sono affari tuoi...
esatto, io non ho chiesto ne' di capire ne' di approvare, ho chiesto un aiuto, ben diverso. ma mi pare sia dura a farla capire...
e alla fine ho fatto da me...
la prossima volta basta non rispondere

grazie

Farò così.