Forum: PC Hard- und Software Ethernet-Teilnetz isolieren, SVN-Server als Verbindung


von Walter T. (nicolas)


Lesenswert?

Hallo zusammen,
ich habe bei mir einen "alten" Windows-XP-Rechner, der meine CNC-Fräse 
steuert und deswegen mit keinem Virenscanner, Software-Firewall o.Ä. 
versehen sein darf und bislang von meinem Heimnetzwerk komplett isoliert
ist. Ich nenne diesen Rechner im folgenden kurz "Steuerungsrechner".

An meinem Standardrechner, mit dem ich auch surfe, mache ich die meisten 
CAD-Sachen (größerer Monitor, Zimmer beheizt, Stuhl vorhanden). Ich 
nenne ihn im folgenden kurz "Surfrechner". Der Surfrechner hängt am 
lokalen Netzwerk (Router, Drucker u.s.w.).

Daten (=CAD-Dateien) werden momentan über das Turnschuhnetzwerk mit 
einem USB-Stick ausgetauscht, bei dem ich auch darauf achte, daß er für 
nichts anderes verwendet wird.

Nun habe ich plötzlich einen Raspberry Pi übrig und spiele gerade mit 
dem Gedanken, auf diesem einen Subversion-Server einzurichten, mit dem 
der Dateienaustausch stattfinden könnte. Der Vorteil, den ich mir davon 
verspreche liegt hauptsächlich in der Versionierung (da ich durchaus des 
öfteren die CAD-Daten auf dem Steuerungsrechner nachträglich anpasse).


Damit ergibt sich die folgende Problemstellung: Zwei Rechner sollen auf 
den gleichen Server zugreifen können (genauer: Auf einen Dienst auf 
einem Server), ansonsten sich aber so verhalten, als wären sie in zwei 
völlig getrennten Netzen. Der Surfrechner darf mit dem Steuerungsrechner 
niemals Kontakt aufnehmen können. Der Steuerungsrechner darf nur auf den 
Subversion-Server.

Jetzt frage ich mich, wie und ob soetwas sinnvoll realisierbar ist. Ein 
überzähliger Router, auf dem auch OpenWrt installiert werden kann ist 
vorhanden. Netzwerkkenntnisse allerdings kaum. Hat jemand Stichworte, 
anhand der man sich einlesen kann, wie dieses Szenario umsetzbar wäre 
oder Ratschläge, warum das nicht geht oder nicht ratsam ist?

Viele Grüße
Nicolas

von Stefan P. (form)


Lesenswert?

Nicolas S. schrieb:
> überzähliger Router, auf dem auch OpenWrt installiert werden kann ist
> vorhanden

Internet-Router in VLAN #1
Surfkiste in VLAN #1
RasPi in VLAN #1 und #2
Steuerrechner in VLAN #2

von lan (Gast)


Lesenswert?

als Hinweis - Vlan
sollte DDWrt kennen

von Peter II (Gast)


Lesenswert?

genau das macht doch die WindowsXP Firewall. Einfach den Harken bei 
Außnahmen rausnehmen und schon kann niemand auf die XP Rechner 
zugereifen.

von Frank K. (fchk)


Lesenswert?

Hänge an den Pi noch einen USB-Ethernet-Adapter. Der interne 
Ethernet-Port hängt ja auch über USB dran. Dann hast Du wirklich zwei 
völlig getrennte Netze, die nur durch den PI verbunden sind. Natürlich 
brauchst Du dann auch verschiedene IP-Bereiche (zB 192.168.1.0 und 
192.168.2.0).

fchk

von Walter T. (nicolas)


Lesenswert?

Peter II schrieb:
> das macht doch die WindowsXP Firewall

Der Rechner darf keine Firewall und keine Sicherheitseinrichtungen 
haben.

VLAN klingt auf den ersten Blick gut. VLAN #2 könnte komplett statisch 
aufgebaut sein, VLAN #1 würde wie bisher laufen.

lan schrieb:
> als Hinweis - Vlan
> sollte DDWrt kennen

DD-WRT geht auf meinem Router nicht. Aber OpenWRT sollte das auch 
können.

Frank K. schrieb:
> Hänge an den Pi noch einen USB-Ethernet-Adapter

Das klingt auch nach keiner schlechten Idee, wäre etwas stromsparsamer 
als ein separater Router.

Ich lese mich auf jeden Fall erst einmal in VLANs ein.

Danke für die Hinweise!
Nicolas

von Peter II (Gast)


Lesenswert?

Nicolas S. schrieb:
> Der Rechner darf keine Firewall und keine Sicherheitseinrichtungen
> haben.

die Firwall ist doch schon dabei, die hast du immer.

von Walter T. (nicolas)


Lesenswert?

Peter II schrieb:
> die Firwall ist doch schon dabei, die hast du immer.

Der XP-Rechner wurde schon ziemlich gestrippt. Viele Dienste entfernt. 
Seine wichtige Aufgabe besteht darin, am den Parallelports zügig und 
richtig zu reagieren. Alles andere ist Nebensache. Unter Umständen läuft 
auch ein SVN-Client nicht mehr darauf. Muß ich testen. Bislang bin ich 
noch im Vorplanungsstadium.

von Peter II (Gast)


Lesenswert?

Nicolas S. schrieb:
> Unter Umständen läuft
> auch ein SVN-Client nicht mehr darauf.

ausgehende Verbindungen sind bei der XP-Firewall kein Problem. Sie 
Blockiert nur eingehende - genau das was du willst.

von Walter T. (nicolas)


Lesenswert?

Wenn ein Router benötigt wird könnte es sich auch anbieten, den 
SVN-Server direkt auf dem Router zu installieren. Die Datenmenge ist 
nicht so riesig. Aber erstmal die VLAN-Sache abklappern.

von Firefoxuser (Gast)


Lesenswert?

Kann man auf dem router nicht einfach eine iptables aufsetzten und dann 
auf den ports nur eine bestimmte ip zulassen??

Dann braucht man nicht unbedingt eine vlan struktur, außerdem kann man 
mit iptables auch alles einschränken (wirklich alles)

von Walter T. (nicolas)


Lesenswert?

Kannst Du dazu mehr schreiben? Mir hat mal ein ehemaliger Arbeitskollege 
gesagt: "Wenn Du Iptables komplett kennst bist Du ein ausgewachsener 
Netzwerkspezialist."

von Peter II (Gast)


Lesenswert?

Firefoxuser schrieb:
> Kann man auf dem router nicht einfach eine iptables aufsetzten und dann
> auf den ports nur eine bestimmte ip zulassen??

dann kannst du aber nicht verbinder das die windows PC untereinander 
reden. Dafür müssen die Daten ja estmal über den Router laufen.

> Dann braucht man nicht unbedingt eine vlan struktur, außerdem kann man
> mit iptables auch alles einschränken (wirklich alles)
dann sagt doch mal die Iptables regel wie ich den Firefox vom IE 
unterscheiden kann.

von Firefoxuser (Gast)


Lesenswert?

Peter II schrieb:
> dann sagt doch mal die Iptables regel wie ich den Firefox vom IE
> unterscheiden kann.

Das ist nicht Aufgabe einer Netzwerkfirewall



Die Regeln die du ca brauchst:

Port1 (XP-Rechner): Allow from IP-XP -> IP-SVN Port-SVN TCP (auf SVN 
Protokoll anpassen)
Deny all

Port 2: (SVN-Server) Allow IP-XP->IP-SVN TCP(auf SVN Protokoll anpassen)
Allow IP-CAD->IP-SVN TCP (auch auf SVN anpassen)
[ggf ssh etc anbinden falls man es braucht]
Deny all

Port 3(CAD-Rechner): Deny IP-CAD->IP-XP  
Allow all (damit du ins internet kommst)


http://www.wikidorf.de/reintechnisch/Inhalt/LinuxIPTables als grobe 
Erklärung zu IPTables

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Eine einfachere Möglichkeit bestünde darin, zwei unterschiedliche 
Adressräume zu verwenden:

Router, Surf-PC bekommen Adressen aus Netzwerk A

(Beispiel: 192.168.0.x, Subnet mask 255.255.255.0)

Steuerung-PC bekommt Adresse aus Netzwerk B

(Beispiel: 192.168.1.x, Subnet mask 255.255.255.0)

Rechner mit SVN-Server darauf bekommt Adresse sowohl aus Netzwerk A als 
auch aus Netzwerk B.


So etwas sollte auch reichen, vorausgesetzt, daß nicht irgendwelche 
Schadsoftware auf dem Surfrechner anfängt, dessen IP-Konfiguration zu 
verwursten, aber warum sollte sie das tun?

von Frank K. (fchk)


Lesenswert?

Nicolas S. schrieb:

> Frank K. schrieb:
>> Hänge an den Pi noch einen USB-Ethernet-Adapter
>
> Das klingt auch nach keiner schlechten Idee, wäre etwas stromsparsamer
> als ein separater Router.

... und sicherer, weil die Netze physikalisch getrennt sind. Bei einer 
Fehlkonfiguration kann diese Trennung bei VLANs löchrig werden. Außerdem 
ist es idiotensicherer in der Konfiguration.

fchk

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.