Hallo zusammen, ich habe bei mir einen "alten" Windows-XP-Rechner, der meine CNC-Fräse steuert und deswegen mit keinem Virenscanner, Software-Firewall o.Ä. versehen sein darf und bislang von meinem Heimnetzwerk komplett isoliert ist. Ich nenne diesen Rechner im folgenden kurz "Steuerungsrechner". An meinem Standardrechner, mit dem ich auch surfe, mache ich die meisten CAD-Sachen (größerer Monitor, Zimmer beheizt, Stuhl vorhanden). Ich nenne ihn im folgenden kurz "Surfrechner". Der Surfrechner hängt am lokalen Netzwerk (Router, Drucker u.s.w.). Daten (=CAD-Dateien) werden momentan über das Turnschuhnetzwerk mit einem USB-Stick ausgetauscht, bei dem ich auch darauf achte, daß er für nichts anderes verwendet wird. Nun habe ich plötzlich einen Raspberry Pi übrig und spiele gerade mit dem Gedanken, auf diesem einen Subversion-Server einzurichten, mit dem der Dateienaustausch stattfinden könnte. Der Vorteil, den ich mir davon verspreche liegt hauptsächlich in der Versionierung (da ich durchaus des öfteren die CAD-Daten auf dem Steuerungsrechner nachträglich anpasse). Damit ergibt sich die folgende Problemstellung: Zwei Rechner sollen auf den gleichen Server zugreifen können (genauer: Auf einen Dienst auf einem Server), ansonsten sich aber so verhalten, als wären sie in zwei völlig getrennten Netzen. Der Surfrechner darf mit dem Steuerungsrechner niemals Kontakt aufnehmen können. Der Steuerungsrechner darf nur auf den Subversion-Server. Jetzt frage ich mich, wie und ob soetwas sinnvoll realisierbar ist. Ein überzähliger Router, auf dem auch OpenWrt installiert werden kann ist vorhanden. Netzwerkkenntnisse allerdings kaum. Hat jemand Stichworte, anhand der man sich einlesen kann, wie dieses Szenario umsetzbar wäre oder Ratschläge, warum das nicht geht oder nicht ratsam ist? Viele Grüße Nicolas
Nicolas S. schrieb: > überzähliger Router, auf dem auch OpenWrt installiert werden kann ist > vorhanden Internet-Router in VLAN #1 Surfkiste in VLAN #1 RasPi in VLAN #1 und #2 Steuerrechner in VLAN #2
genau das macht doch die WindowsXP Firewall. Einfach den Harken bei Außnahmen rausnehmen und schon kann niemand auf die XP Rechner zugereifen.
Hänge an den Pi noch einen USB-Ethernet-Adapter. Der interne Ethernet-Port hängt ja auch über USB dran. Dann hast Du wirklich zwei völlig getrennte Netze, die nur durch den PI verbunden sind. Natürlich brauchst Du dann auch verschiedene IP-Bereiche (zB 192.168.1.0 und 192.168.2.0). fchk
Peter II schrieb: > das macht doch die WindowsXP Firewall Der Rechner darf keine Firewall und keine Sicherheitseinrichtungen haben. VLAN klingt auf den ersten Blick gut. VLAN #2 könnte komplett statisch aufgebaut sein, VLAN #1 würde wie bisher laufen. lan schrieb: > als Hinweis - Vlan > sollte DDWrt kennen DD-WRT geht auf meinem Router nicht. Aber OpenWRT sollte das auch können. Frank K. schrieb: > Hänge an den Pi noch einen USB-Ethernet-Adapter Das klingt auch nach keiner schlechten Idee, wäre etwas stromsparsamer als ein separater Router. Ich lese mich auf jeden Fall erst einmal in VLANs ein. Danke für die Hinweise! Nicolas
Nicolas S. schrieb: > Der Rechner darf keine Firewall und keine Sicherheitseinrichtungen > haben. die Firwall ist doch schon dabei, die hast du immer.
Peter II schrieb: > die Firwall ist doch schon dabei, die hast du immer. Der XP-Rechner wurde schon ziemlich gestrippt. Viele Dienste entfernt. Seine wichtige Aufgabe besteht darin, am den Parallelports zügig und richtig zu reagieren. Alles andere ist Nebensache. Unter Umständen läuft auch ein SVN-Client nicht mehr darauf. Muß ich testen. Bislang bin ich noch im Vorplanungsstadium.
Nicolas S. schrieb: > Unter Umständen läuft > auch ein SVN-Client nicht mehr darauf. ausgehende Verbindungen sind bei der XP-Firewall kein Problem. Sie Blockiert nur eingehende - genau das was du willst.
Wenn ein Router benötigt wird könnte es sich auch anbieten, den SVN-Server direkt auf dem Router zu installieren. Die Datenmenge ist nicht so riesig. Aber erstmal die VLAN-Sache abklappern.
Kann man auf dem router nicht einfach eine iptables aufsetzten und dann auf den ports nur eine bestimmte ip zulassen?? Dann braucht man nicht unbedingt eine vlan struktur, außerdem kann man mit iptables auch alles einschränken (wirklich alles)
Kannst Du dazu mehr schreiben? Mir hat mal ein ehemaliger Arbeitskollege gesagt: "Wenn Du Iptables komplett kennst bist Du ein ausgewachsener Netzwerkspezialist."
Firefoxuser schrieb: > Kann man auf dem router nicht einfach eine iptables aufsetzten und dann > auf den ports nur eine bestimmte ip zulassen?? dann kannst du aber nicht verbinder das die windows PC untereinander reden. Dafür müssen die Daten ja estmal über den Router laufen. > Dann braucht man nicht unbedingt eine vlan struktur, außerdem kann man > mit iptables auch alles einschränken (wirklich alles) dann sagt doch mal die Iptables regel wie ich den Firefox vom IE unterscheiden kann.
Peter II schrieb: > dann sagt doch mal die Iptables regel wie ich den Firefox vom IE > unterscheiden kann. Das ist nicht Aufgabe einer Netzwerkfirewall Die Regeln die du ca brauchst: Port1 (XP-Rechner): Allow from IP-XP -> IP-SVN Port-SVN TCP (auf SVN Protokoll anpassen) Deny all Port 2: (SVN-Server) Allow IP-XP->IP-SVN TCP(auf SVN Protokoll anpassen) Allow IP-CAD->IP-SVN TCP (auch auf SVN anpassen) [ggf ssh etc anbinden falls man es braucht] Deny all Port 3(CAD-Rechner): Deny IP-CAD->IP-XP Allow all (damit du ins internet kommst) http://www.wikidorf.de/reintechnisch/Inhalt/LinuxIPTables als grobe Erklärung zu IPTables
Eine einfachere Möglichkeit bestünde darin, zwei unterschiedliche Adressräume zu verwenden: Router, Surf-PC bekommen Adressen aus Netzwerk A (Beispiel: 192.168.0.x, Subnet mask 255.255.255.0) Steuerung-PC bekommt Adresse aus Netzwerk B (Beispiel: 192.168.1.x, Subnet mask 255.255.255.0) Rechner mit SVN-Server darauf bekommt Adresse sowohl aus Netzwerk A als auch aus Netzwerk B. So etwas sollte auch reichen, vorausgesetzt, daß nicht irgendwelche Schadsoftware auf dem Surfrechner anfängt, dessen IP-Konfiguration zu verwursten, aber warum sollte sie das tun?
Nicolas S. schrieb: > Frank K. schrieb: >> Hänge an den Pi noch einen USB-Ethernet-Adapter > > Das klingt auch nach keiner schlechten Idee, wäre etwas stromsparsamer > als ein separater Router. ... und sicherer, weil die Netze physikalisch getrennt sind. Bei einer Fehlkonfiguration kann diese Trennung bei VLANs löchrig werden. Außerdem ist es idiotensicherer in der Konfiguration. fchk
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.