Forum: PC Hard- und Software Netzwerk: Nur Server erreichbar machen, aber keine anderen Teilnehmer

Hallo,

ich überlege momentan über ein Vernetzungsproblem.

Mal angenommen, man hat eine Reihe von Clients und 1 Server. Den Clients 
soll es möglich sein, den Server (Router, transp. HTTP-Proxy mit 
ClamAV-Traffic-Scanning, Nameserver, ...) zu erreichen, nicht aber die 
anderen Clients.

Die Clients können an Ethernet-Dosen angeschlossen werden und es ist 
nicht bekannt, was für Clients das sind. Das könnte von der 
Ethernet-fähigen Waschmaschine über den virenverseuchten WinME-PC bis 
hin zum OpenBSD-System alles sein.

Der Server soll einerseits mit den Clients verbunden sein, andererseits 
mit einem dahinterliegenden Netz, in dem es z. B. Internetzugang gibt.

Der naheliegendste Gedanke war bei mir, den Server mit vielen 
ethN-Interfaces auszustatten und jeden Client an einen eigenen Port 
anzuschließen. Zwischen den IP-Netzen an den vielen 
Ethernet-Schnittstellen würde dann nicht hin- und her geroutet. Man 
hätte also schon auf Layer 1 komplett voneinander abgegrenzte LANs, in 
denen jeweils nur der Server und ein Client wären. (Im Gegensatz z.B. 
zur Idee "Unterschiedliche IP-Subnetze").
Allerdings stößt das mit den dedizierten Ports an Grenzen, wenn man mit 
mehr als ~10 Clients zu tun bekommt, selbst wenn man LAN-Karten mit 4 
Ports benutzt.

Wie würde man sowas am besten lösen? Könnte ein Switch mit 
VLAN-Unterstützung die Lösung sein? In jedem VLAN wäre jeweils ein 
Client-Switch-Port und der Serverport enthalten. D.h. der Serverport 
müsste in mehrere VLANs gleichzeitig reinziehbar sein. Geht das?

Clientseitige Möglichkeiten, z. B. bei jedem der Clients auf IP-Ebene 
etwas mit iptables zu machen, scheiden aus, da die Clients als 
"Blackboxen" betrachtet werden müssen und keine Annahmen über OS etc. 
getroffen werden können. Clients können auch böswillig und/oder 
malware-okkupiert sein, d.h. darüber, was die tun, besteht keine 
Kontrolle.

Danke für alle Tipps!