Moin Moin!

Ist sowas mit einem managed Switch möglich?

Die kann man austricksen.

• Port A darf nur mit dem Port für den Intenetrouter verbunden werden...
• Port B und C dürfen auch das NAS ansprechen (alle anderen dürfen es gar nicht sehen)
• Port C darf mit A, B, D Daten austauschen

Warum nur?

Bau Dir verschiedene Netze auf, hänge einen oder mehrere Router dazwischen, definiere die Regeln wie oben pro Netzwerk.

In meinem kleinen Netzwerk zuhause gibt es etwas vereinfacht drei Netze:

192.168.2.0/24 ist das "sichere" Netzwerk, in dem die meisten Rechner ohne größeren Schutz stehen, ebenso ein Printserver samt Drucker und mein Server für alle Zwecke, außerdem zu meiner Schande auch der WLAN-AP.

192.168.5.0/24 ist ein Mini-Netz bestehend aus exakt einem Kabel, in dem ich einen Server für einen Ex-Kollegen "hoste" und betreue.

192.168.1.0/24 ist ein zweites ein-Kabel-Netz, in dem der DSL-Modem-Router steht, von dort geht es in die große weite Welt und wieder zurück.

Ein kleiner Linux-Router hat in jedem der Netze ein Bein stehen.

Zugriffsregeln:

* Aus dem 5er-Netz darf man nur Verbindungen ins 1er-Netz und ins Internet aufbauen.
* Aus dem 1er-Netz ist nur Port-Forwarding zu einigen Ports im 5er-Netz und im 1er-Netz erlaubt
* Aus dem 2er-Netz dürfen Verbindungen ins 1er-Netz, ins 5er-Netz und ins Internet aufgebaut werden

Damit kann mein Ex-Kollege nicht in mein "sicheres" Netz, ich kann aber seinen Server warten, ohne jedes mal in den Keller rennen zu müssen. Wir beide können von außen auf ausgewählte Services auf unseren jeweiligen Server zugreifen.

Mein Ex-Kollege könnte leider immer noch den DSL-Router im 1er-Netz angreifen. Das wäre zwar extrem blöd von ihm, aber weil dem DSL-Router Out-of-Band Management fehlt, ist das nicht zu verhindern. Sollte er mal auf die wahnsinnige Idee kommen, das auszuprobieren, kann er sich am nächsten Tag seinen Rechner in Einzelteilen aus dem nächstgelegenen Entwässerungsgraben fischen. Und das weiß er. ;-)

Der WLAN-AP muß noch aus dem 2er-Netz raus, der soll ein eigenes Netz bekommen, von dort aus sollen außer VPN-Tunneln überhaupt keine Verbindungen erlaubt sein.

Und analog zum Server meines Kollegen soll auch noch ein eigener Server in ein weiteres, eigenes Netz kommen, der in Zukunft die meisten aus dem Internet erreichbaren Services hosten soll.

Alexander