[7025] hoe bepaalde interne ip adressen blocken van communicatie met DB ?

[Gast lilo67]

ik mijn LAN bevinden zich verschillende pc's. sommige wil ik uitsluiten van elke netwerkcommunicatie met de DB.

 

Kan ik dit realiseren in de linux op de DB op basis van ip adress of MAC address ?

 

en hoe ? waar, in welke script welke regel toevoegen ?

 

ik denk dat je het kan met de linux firewall iptables maar ik denk niet dat de db deze aan boord heeft, enkel bij debian.

 

bedankt

 

marc

 

[©TheMenk©]

Tja waarom je lokale ip's wilt blocken vind ik op zich al vreemd. Maarja.

 

De Pli-images hebben een firewall aan board. Probeer deze maar eens.

 

En dat iptables enkel bij debian aan board zijn is kolder. In principe kun je op alle linux/unix based machines iptables draaien.

 

gr TheMenk

[Gast lilo67]

oja, misschien nog even bijvermelden dat ik met een gemini image werk en het liefst hier bij zou blijven

[Gast lilo67]

heb voorlopig zelf een oplossing gevonden...

eigenlijk simpel

 

in de SETUP ga je naar de instellingen van het netwerk.

 

De meeste mensen geven als subnet 255.255.255.0 in zodat de db het volledig subnet "ziet". Ik veranderde dit in 255.255.255.255 zodat hij alleen zichzelf ziet (en de gateway router uiteraard)

 

marc

 

[Gast lilo67]

hmmm, werkt ook niet (gateway is niet zichtbaar)

[Gast Kuc]

klopt dat werkt niet met 255.255.255.255 alleen.

als je dat wilt realiseren heb je minimaal 2 routers nodig.

of je moet een dure router hebben waar je vlan s mee kan maken.

 

als dat het geval is wil ik je wel helpen met configureren .

 

groetjes

[Gast Jurian]

Volgens mij zou je wel een kleiner subnet op de dreambox kunnen gebruiken; bijvoorbeeld 255.255.255.248; hiermee heb je 8 IP's (min de gebruikelijke 3: netwerk adres, broadcast adres en default gateway).

 

je zou dan je PC bijvoorbeeld 192.168.1.100 kunnen geven, met 't normale 255.255.255.0 netmask, en de dreambox 192.168.1.101 met 255.255.225.248 als netmask.

 

Niet bepaald netjes en broadcast verkeer tussen de dreambox en je PC zal niet werken, maar dat is volgens mij niet zo'n heel groot probleem in dit geval.

 

Je krijgt dan dus:

 

Network: 192.168.1.96

Netmask: 255.255.255.248

HostMin: 192.168.1.97

HostMax: 192.168.1.102

Broadcast: 192.168.1.103 (ALLEEN op de dreambox; op de PC is 't gewoon 192.168.1.255)

 

De dreambox zal alleen met IP-adressen kunnen communiceren binnen 192.168.1.97 t/m 192.168.1.102

 

Let wel op dat de dreambox dus WEL IP verkeer binnen kan krijgen vanaf de andere IP's binnen je LAN (want voor die PC's valt het dreambox IP gewoon binnen hetzelfde subnet), maar antwoorden zullen naar de default gateway gestuurd worden, als die tenminste is opgegeven. Het ligt dan wel aan je router of die 't niet stiekem weer terug je LAN op gooit (wat dus niet wenselijk is).

 

Dit is overigens dus wel een lelijke oplossing die voor vreemde effecten kan zorgen en die ik eigenlijk nooit zou aanraden!

 

Een 2e routertje is een (technisch) veel nettere oplossing, je zou dan zoiets krijgen:

 

internet -- router1 -- LAN met "evil PC's" (192.168.1.*)

internet -- router1 -- router2 -- LAN met "trusted PC's" en dreambox (192.168.2.*)

 

Router 2 zet je dan op Static IP, 192.168.1.253, met als default gateway het IP van router 1. Op router 1 voeg je een static route toe waarbij je 192.168.2.* naar 192.168.1.253 laat sturen.

 

Die setup heeft echter wel weer nadelen; windows networking tussen de PC's in het "evil LAN" en het "trusted LAN" zal erg moeilijk verlopen, als 't al werkt. Games (als je die al draait) zullen ook vaak niet werken tussen de 2 netwerken. Hetzelfde geldt eigenlijk voor een hele hoop software die er vanuit gaat dat je LAN maar uit 1 subnet bestaat.

 

Beide oplossingen zijn verre van ideaal. Het mooiste zou zijn om een netfilter/iptables kernel module en binary te vinden die met de dreambox kernel gebruikt kunnen worden...