Разграничение доступа двух сетей через шлюз Ubuntu server

[systemnik]

Здраствуйте, не давно я стал заниматься работой дистрибутива Ubuntu server.И на данном этапе мне понадобилось разраничить две локальные сети через шлюз. Сейчас поясню в чем идея.
И так, существую две локальные сети, у каждой сети есть свой доступ в инренет (см. рисунок). Далее перед входом в интернет стоят в каждой сети стоит шлюз, который присваевыет Ip адреса каждой машине своей сети (с этом я разобрался) и блокирует досут в локальную сеть из внешнего инернета. но эти две сети необходимо связать через шлюз, к которому подключены эти сети и скажем файловый сервер. Так вот, как же прописать имено в шлюзе чтобы Локальная сеть 2 немогла пользоваться интернетом локальной сети 1 и наоборот, а пользовались только своим интернетом, кроме этого так же необходжимо ограничить досуп между сетями,то есть каждая локальная сеть имела бы доступ к только серверу который подключен к шлюзу 3(который их связывает) и не имела доступа между собой. И вот еще вопрос, сисадмину необходимо будет иметь доступ к этим двум сетям, без ограничений, то есть если он находится в сети 1 то он может без ограниений зайти в сеть 2, так же если он бы находился в сети 2 имел бы доступ в сеть 1 и к серверу соотвественно( тоесть дать неограниченые права для доступа к сетям и серверу). Если такая возможность у Squid?
В данном Шлюзе я делаю из системного блока с тремя сетевыми картами (то есть будет как маршрутизатор), на которой и установлен Ubuntu servet, буду рад услышать идеи по поводу моего вопроса. Зарнее спасибо

[alexander.pronin]

Перенесите тему в сети.
Там такого добра навалом.

[Mam(O)n]

Ну для начала, чтоб в дальнейшем было проще, можешь привести адресацию сетей к битовой границе маски, например к виду 192.168.0.1/25(255.255.255.128) (192.168.0.1-192.168.0.126) и 192.168.0.128/25(255.255.255.128) (192.168.0.129-192.168.0.254) соответственно?

[systemnik]

Ну для начала, чтоб в дальнейшем было проще, можешь привести адресацию сетей к битовой границе маски, например к виду 192.168.0.1/25(255.255.255.128) (192.168.0.1-192.168.0.126) и 192.168.0.128/25(255.255.255.128) (192.168.0.129-192.168.0.254) соответственно?

Хорошо с этим все понятно. Как теперь организовать чтобы шлюз 3 блокировал вход в инет подсети 1 через подсеть 2, а так же блокировал вход в инет подсети 2 через подсеть 1?

[botsman]

Ну для начала, чтоб в дальнейшем было проще, можешь привести адресацию сетей к битовой границе маски, например к виду 192.168.0.1/25(255.255.255.128) (192.168.0.1-192.168.0.126) и 192.168.0.128/25(255.255.255.128) (192.168.0.129-192.168.0.254) соответственно?

Хорошо с этим все понятно. Как теперь организовать чтобы шлюз 3 блокировал вход в инет подсети 1 через подсеть 2, а так же блокировал вход в инет подсети 2 через подсеть 1?

Ну здесь немного проще...
На "Шлюз 3" при помощи правил iptables запрети форвардинг пакетов из одной подсети в другую.

По поводу "админской машины" - у нее адрес статический или динамический?
Если статика - то также при помощи правил iptables на "Шлюз 3" разрешается форвардинг пакетов для источника с адресом "админской машины"

ну и насчет сервера - присвой сетевому интерфейсу два адреса, по одному для каждой из подсетей.... и на "Шлюз 3" пропиши маршруты к нему....

[Mam(O)n]

Допустим интерфейсы на шлюзе №3 такие:

Код: [Выделить]

Локалка №1: eth0 - 192.168.0.1/25
Локалка №2: eth1 - 192.168.0.129/25
Куда подключен сервер - eth2
Тогда правила фильтрации, соответственно поставленным задачам будут следующие:

Код: [Выделить]

iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.77 -j ACCEPT # Админ из первой сети
iptables -A FORWARD -i eth1 -s 192.168.0.177 -j ACCEPT # Админ из второй сети

[systemnik]

botsman,  Mam(O)n  спасибо большое, буду пробывать