Warstwa 2-Accessible DMZ: ebtables?

1

Chciałbym stworzyć topologię sieci, w której wszystkie urządzenia IoT (drukarka, DVR, termostat, odtwarzacz BluRay itp.) Znajdują się w strefie DMZ, a reszta moich urządzeń jest w sieci LAN. Zauważ, że użycie DMZ tutaj różni się od ustawień DMZ na routerach i odnosi się do „strefy sieci, w której umieszczam urządzenia, którym nie ufam, aby nie próbować włamać się do mojej sieci”.

Zwykle odbywa się to poprzez tworzenie bram warstwowych (tj. Posiadanie bramy w strefie DMZ w celu ochrony sieci LAN) lub posiadanie niestandardowej bramy trójdrożnej ze specjalnymi regułami iptables. Zrobiłem już obie, ale oboje cierpią z powodu problemu, że są to rozwiązania warstwy 3 i szukam rozwiązania warstwy 2, przede wszystkim w celu zachowania działania mDNS i Service Discovery.

Myślę, że chcę pozwolić na:

LAN - [cokolwiek] -> DMZ

DMZ - [ustanowiony + transmisje + DHCP] -> LAN

Jednak patrząc na ebtablesdokumentację, nie wygląda na to, żebym mógł odróżnić ustanowione połączenia ip od nowych połączeń ip, co jest wymaganą cechą mojego planu.

Istnieją zatem dwie możliwości, które z tego wynikają:

1) Ustalenie, jak korzystać ebtablesz tego, co chcę; lub

2) Korzystając z metody podwójnego NAT i mając urządzenie (RasPi lub coś takiego) nasłuchuj transmisji Service Discovery w DMZ i przekaż je w sieci LAN.

Ostatnie pytanie: jakie podejście jest możliwe i / lub najłatwiejsze w zarządzaniu z perspektywy tego, jak długo będę majstrować przy rzeczach, aby to zadziałało?

Uwaga: tagowanie pod iptableszamiast zamiast, ebtablesponieważ najwyraźniej nie mogę utworzyć tego tagu ...

networking router iptables dmz iDodatkowy
źródło
1
Jak definiujesz „ustanowione” połączenie IP? Czy masz na myśli TCP, biorąc pod uwagę, że IP jest bezstanowy?
Paul
Warstwa 2 jest problematyczna dla tego, czego chcesz, ponieważ jest to sieć typu peer-to-peer. Istnieją przełączniki, które mogą wykonywać prywatne sieci VLAN (urządzenia w tej samej sieci VLAN nie mogą ze sobą rozmawiać) lub listy ACL oparte na warstwie 2 (które są brzydkie, ponieważ opierają się na adresach MAC każdego urządzenia).
Ron Maupin
Tak, mam na myśli TCP (lub emulowany / zakładany w UDP). Używam tego terminu, ponieważ tak iptablessię do niego odnosi.
iDodatek

Odpowiedzi:

0

Po pierwsze, ebtablesjest protokołem Link-Layer i jako taki nie może nic wiedzieć o ESTABLISHED, RELATEDpołączeniach. Według Wikipedii ,

Warstwa łącza to grupa metod i protokołów komunikacyjnych, które działają tylko na łączu, z którym host jest fizycznie połączony.

Skąd więc może wiedzieć, że ten pakiet ze zdalnego adresu URL jest kolejnym pakietem z serii, która została zainicjowana lokalnie?

Co do drugiego rozwiązania, nie jest dla mnie jasne, co próbujesz osiągnąć. Zasadniczo strefy DMZ są używane do ograniczania wymiany ruchu między nią a siecią LAN inną niż DMZ, właśnie w celu zapobiegania wykrywaniu sieci i / lub sondowaniu itd. Zamiast tego próbujesz zwiększyć protokoły i komunikację między nimi.

Jeśli chcesz to zrobić, dlaczego nie stworzyć pojedynczej sieci LAN obejmującej zarówno strefę DMZ, jak i inną niż DMZ, a następnie przesłać ruch z ekranu iptables? W ten sposób zezwolisz na ruch inny niż IP, ale możesz zablokować ruch IP, na przykład zrzucając wszystkie połączenia ssh / telnet z jednej strefy do drugiej.

Alternatywnie możesz użyć pewnego rodzaju Man in the Middle, tj. Komputera z interfejsem w strefie innej niż DMZ i jednej w strefie DMZ, z włączonym przekazywaniem IPv4, ale kontrolowanym przez niego iptables, i dhcp-relayumożliwiającym przekazywanie żądań DHCP (wersja dostarczone przez dnsmaqjest szczególnie łatwe do skonfigurowania). Możesz także włączyć Proxy-ARP na tym komputerze MIM, aby odpowiadał na zapytania ARP w imieniu komputerów poddanych kwarantannie.

MariusMatutiae
źródło
To nie jest odpowiedź na pytanie. Po pierwsze, wiem, że ebtables to warstwa-2; ma jednak zdolność szpiegowania pakietów i filtrowania na podstawie źródłowego adresu IP, docelowego adresu IP, portu itp., tak to wie: szpieguje. Ponadto publiczne serwery sieciowe i Internet Rzeczy wymagają innego rodzaju strefy DMZ: tej, którą izolujesz i której chcesz używać, ale nie ufaj darmowym rządom. W szczególności wspomniałem, że nie chcę używać iptables ani mieć niestandardowej bramy.
iDodatkowy
@ iAdjunct Myślę, że się mylisz: powinieneś przeczytać to, co Bart de Schuymer, autor ebtables, mówi o swoich możliwościach, szczególnie w związku z ESTABLISHED., sourceforge.net/p/ebtables/mailman/message/2821657
MariusMatutiae
Wszystko, co mi mówi, to że ebtables nie węszy za nimi. Nie daje to jednak pewności, że iptables będzie miało zastosowanie do mostkowanych połączeń, gdy ruch odbywa się przez most i nie jest przeznaczony dla komputera lokalnego.
iDodatkowy
@ iAdjunct Dokładnie ebtablesnic nie wie o USTANOWIONYM, PODŁĄCZONYM. Więc twoje pytanie n. 1 otrzymano odpowiedź. Jeśli nie chcesz używać iptables ani niestandardowej bramki, to tak jak kopanie i przeklinanie: sprawiają, że twój nastrój jest przejrzysty, ale nie zbliżają się do rozwiązania.
MariusMatutiae
Nie potrafię powiedzieć, do czego zmierza twój ostatni akapit w odpowiedzi (czy to działa jak most czy brama? Nie jest jasne). Czy mógłbyś rozwinąć to w edycji?
iDodatek