我有一个网络:192.168.31.0/24,网络上的计算机有静态 IP 192.168.31。*
我想隔离其中 5 台计算机(例如 192.168.31.201 - 192.168.31.205),并将它们放在路由器/防火墙(ClearOS)后面,并使用防火墙规则只允许传出流量到 192.168.31.0/24,并阻止流向互联网其余部分的流量。
我可以在 192.168.31.0 C 类网络内设置 192.168.31.192/28 吗?
192.168.31.192 = 网络
192.168.31.193 = 网关
192.168.31.201 至 192.168.31.205 = 计算机 IP
192.168.31.207 = 广播
答案1
您甚至不需要将它们划分为子网。可以在第 2 层使用防火墙,并在桥上设置防火墙。需要注意的是,这 5 台机器可能需要与其他机器位于不同的交换机上。但这种方法不需要在任何地方更改子网设置。
至于您提出的问题,您想要做的事情是完全有可能的。如果您可以将网络的其余部分划分为子网,这样就不会出现重叠子网,那么其他所有事情都会变得更容易,但该防火墙可能足够智能,可以处理将非防火墙机器连接到防火墙机器所需的代理 arp。
答案2
谢谢,我成功了!
我犯的错误是分配网络 IP(192.168.31)。192)到路由器计算机。
这是我的工作设置:
路由器计算机有 2 个 NIC:
- 192.168.31.190 = 网络 192.168.31.0 上的 (eth0)/24
- 192.168.31.193 = (eth1)在网络 192.168.31.192 上/28
较小的子网是:
- 子网 = 192.168.31.192/28
- 网络掩码 = 255.255.255.240
- 192.168.31.192 = 网络
- 192.168.31.193 = 网关(eth1)
- 192.168.31.194 ~ 192.168.31.206 = 可用 IP
- 192.168.31.207 = 广播