Mam następujący problem:
Potrzebuję utworzyć sieć A oraz sieć B. Chcę, aby wszystkie urządzenia z sieci A miały dostęp do urządzeń z sieci B, ale tylko niektóre urządzenia z sieci B do urządzeń z sieci A.
Dlaczego w taki sposób? Dlatego, że do monitorowania urządzeń z sieci B będzie komputer z oprogramowaniem, które skanuje co jakiś czas całą sieć i zbiera dużo informacji. Nie chcę, aby mi skanował wszystko dookoła, bo nie ufam temu programowi, a na obecną chwilę nie mam wyjścia i muszę go używać.
Chyba, że macie jakieś lepsze rozwiązania?
Pacjent, na którym będą zachodziły wszelkie zmiany, to RB951G-2HnD.
Co to za soft i skoro mu nie ufasz, dlaczego go używasz? Jaki protokół wykorzystuje do skanowania? ICMP, SNMP, inny? Do monitorowania urządzeń możesz wykorzystać zabbix. Trzeba przy tym trochę posiedzieć, ale warto.
Tu w grę wchodzi już firewall, ale zależy jaką przyjąłeś politykę bezpieczeństwa - accepta (all) czy drop (all). Jeśli to drugie, to budujesz adres listę z akcją accept i regułkę drop z negacją na wyjście tylko przez interfejs WAN.
Można też zrobić regułkę accept out WAN interface i wyżej tylko z połączeń nawiązanych z dozwolonych IP. To się przydaje tylko, gdy separacja ma działać zawsze, czyli w Twoim przypadku sieć B ma dostęp do sieci A, tylko, gdy sieć A zainicjuje połączenie z siecią B. Sieć B nigdy nie nawiąże połączenia z siecią A, dopoki sieć A nie zainicjuje połączenia z siecią B. Działa to podobnie jak polityka bezpieczeństwa na Cisco ASA.
Oprogramowanie służy do monitorowania drukarek. Oprogramowanie jest spięte z serwerem online dostawcy i tam lecą wszystkie informacje o urządzeniach, które zostały odkryte w sieci.
Nie ufam mu, bo autor programu ma całą konfigurację zaszytą w programie (z czym się łączy, co przesyła, co sprawdza) i nie chce się tą wiedza podzielić. Używać na razie go muszę, bo nie mamy innego wyjścia.
Ogólnie to potrzebuję mieć możliwość dostępu do drukarek z komputerów, ale też niektóre drukarki z uwagi na funkcję skanowania do folderów sieciowych muszą mieć dostęp do komputerów.
Myślałem zrobić dwie podsieci i jakoś zrobić wyjątki połączeń między nimi dla wybranych komputerów. Czy takie coś ma sens?
Na to firma powinna mieć odpowiednią umowę. Tak przynajmniej jest u mnie. Soft raczej wykorzystuje SNMP. Ewentualnie wysyła maile. Czy to może docunaster?
Jeśli nie masz zaufania do tej firmy, znajdź inną.
Jednak od strony technicznej, tworzysz listę dozwolonych IP. Tylko dozwolone IP mogą nawiązać połączenie z serwerem plików, a hosty mogą nawiązać połączenie, z drukarką a drukarki w drugą stronę już nie.