Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 6986 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Isolate Certain Hosts

DaMaN841
I have a few hosts on my network that I'd like to limit access from the rest of the network. Ideally, these hosts should really only be able to send out, and not touch the rest of a LAN, similar to a guest network. E.g. Work Laptop that will only VPN or a friends virus infected Windows box. It's also possible that these hosts will be wired as well as wireless, so an AP10/AP30/AP50 suggestion won't be a full solution. The Astaro Box only has two LAN (External & Internal) so I can't create a separate LAN at this time.

The real goal would be to have two DHCP servers, one that is static mappings only that has full access to one another, and another that is isolated, and can only go out. This way I don't have to block things manually each time a new host joins the network. Unfortunately, I've looked into this, and the only way I could see this being conceivable is to create a network group of the allowed DHCP Server Hosts and a network group of the guest DHCP Server hosts and instead of using Internal (Network), use those network groups to create rules, if this would even work and block traffic between the two.

With packet filtering, I've tried to block all packets (drop / reject) from the host using Host --> Any --> Any, but I have a funny feeling that the other rules in my list, which are allowing Internal (Network) --> Terminal --> Any and others are causing the block rule to be futile. If this is the case, do I have to have a network setup that only allows the hosts that I trust, and instead of using Internal (Network), use each individual host or a network group.

I apologize for the juggling thoughts. Just trying to keep my trusted hosts safe and unaffected by work and guest devices.


This thread was automatically locked due to age.
  • 0
    Hi, if the hosts are all on the same LAN switch, there is no way to protect them from each other.

    However, if you have a VLAN switch, you can create a separate VLANs for the suspect hosts, and use packetfilter rules to protect the networks form each other.

    Barry
  • 0
    Lets say internal is 192.168.1.0/24. Create an additional address on internal, e.g. 192.168.2.1/24
    Now limit your existing dhcp server to static leases only.
    Create another dhcp server bound to the additonal address.

    New hosts will get ip addresses from 192.168.2.0/24 then.
    Its not completly isolated as with vlans, but should work...

    Cheers
     Ulrich
  • 0
    I wouldn't recommend that for a work environment, but for home use, it is better than nothing.

    I'm not sure whether the 2 dhcp servers will work on the same interface or not.

    Barry
  • 0 in reply to BarryG
    Definitely seems like a decent solution, however, if ~$100 is the only thing between the right way and a mediocre solution, I'm okay with buying a Smart Switch. Seems like the Netgear ProSafe GS108T-200NAS and the Cisco Small Business SLM2008T-NA SG200-08 are the two that should cover the job. 

    I plan to research this a bit more, however, in my brief overlook of this solution, it suggests that I'd be using 802.11Q instead of Port Based VLAN, since the Astaro Box only has one ethernet for LAN. My question would then be, since it seems like there'd be one DHCP server, or even if there were multiple, how would I dictate which hosts go where. At the very minimum, I'd have VLAN1 Trusted and VLAN2 Untrusted, so would I make it that all filter to Untrusted until they are assigned to other VLAN's?
  • 0 in reply to DaMaN841
    Forgot to finish my thought.

    Or do I just assign ports on the Smart Switch as VLAN1 VLAN2 etc, and then Astaro just picks that up and assigns accordingly.
  • 0
    Hi, the VLANs are set per port, on the switch, and you do need to use 802.1Q.

    You configure a dhcp server in Astaro on each VLAN interface.

    I wrote a guide for the Netgear GS108T VLAN switch at 
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32409

    Barry
  • 0
    Alternately, you could just go buy another NIC to throw into the system as a new guest LAN interface  [:)]
  • 0 in reply to Scott_Klassen
    I appreciate the suggestion, however, I'd have to spend money to purchase a PCI Express Network card in that scenario. Not to mention I'd also need to provide a solution for multiple wired and wireless guest clients, which would mean purchasing another Access Point / Switch. It's possible those exceed the cost of the Smart Switch solution.

    At that point, I think investing in a Smart Switch might be cleaner. After more research, as well as the great guide by Barry, I realized that I could setup VLAN's on my DD-WRT Wireless Router (Acting as an AP), so I could utilize that for Wireless Guests. It could almost even act as a Smart Switch, however, I'll lose a few features. 

    I plan to give this a whirl, and if it pans out, I'll be investing in one of the Netgear / Cisco Switches. As an aside, does anyone know which company is better for the low end stuff like this?
  • 0
    When I bought the Netgear, I didn't see any competing Linksys products with VLAN.
    I'm not sure if the Cisco is a Linksys model (Cisco bought Linksys), or a real Cisco.
    If it's a real Cisco, it's probably better than Netgear, depending on what kind of support is included.

    Barry
  • 0 in reply to BarryG
    The Cisco SLM2008T-NA suggests that it's Small Business, so I doubt it's a Linksys. It's part of the 200 Series, which seems brand comparable because Netgear also has the Netgear ProSafe GS108T-200NAS as part of their 200 Series. I believe that model is the second revision to what you're using. 

    Netgear also has a ProSafe 100 Series, containing a 5, 8 and 16 port version, GS105E, GS108E and GS116E, however, the functionality is cut down quite a bit, and apparently instead of a web interface, they use some Windows only application. [:@]

    This is the Newegg link to the Cisco, which seems to have the only preview of the web interface that I've been able to find. And the quality is terrible at best. I'm sure either one would do the job, and since I already have a 16 Port Netgear Unmanaged GS116, perhaps I'll just keep the trend, since you're proof that the Netgear one will suffice.