Range of IP's blokkeren binnen netwerk

[Tazmanian]

Is het mogelijk om een range of IP's binnen een netwerk te blokkeren?

MIjn default netwerk heeft de IP 10.52.0.0

IP range 10.52.0.0 ~ 199 heeft toegang tot alles, ook andere netwerken, das is al ingesteld.
Maar nu wil ik dat alle IP's van 10.52.0.200 ~ 254 geen connectie mogen maken met andere netwerken en ook niet met de IP's 10.52.0.0 ~ 199

Is dat mogelijk?

 

[Hofstede]

Nee. Binnenin hetzelfde subnet kun je onderling niets blokkeren.

 

[Tazmanian]

Zou het wel gaan via deze traffic rule ipv via de firewall ?

 

[Hofstede]

Verkeer tussen adressen in het bereik 10.52.0.200 - 254 en adressen in het bereik 10.52.0.0 - 199 gaat niet via de UDM Pro maar rechtstreeks omdat het in hetzelfde subnet zit. Dus de UDM Pro kan helemaal niets blokkeren, ook al zou je die regel er in zetten.
De UDM Pro kan alleen verkeer tussen verschillende subnets blokkeren omdat dat verkeer via de UDM Pro gaat.

De basis is hier eigenlijk al verkeerd. Als je niet wilt dat bepaalde apparaten met anderen kunnen communiceren dan horen ze geen IP's in hetzelfde subnet te hebben maar in een apart VLAN te zitten.

 

[Tazmanian]

Yes dat is de andere optie. Maar dan heb ik een extra WIFI netwerk nodig en wou dat net vermijden ;-)

 

[Hofstede]

Nee, dat is niet de andere optie, maar de enige optie als je dat verkeer wilt blokkeren.

 

[gewoon in de kroeg]

IP range 10.52.0.0 ~ 199 heeft toegang tot alles, ook andere netwerken, das is al ingesteld.

Yes dat is de andere optie. Maar dan heb ik een extra WIFI netwerk nodig en wou dat net vermijden ;-)

Ligt het aan mij of is dit een beetje tegenstrijdig?

Extra wifi netwerkje (in een aparte VLAN) toevoegen is de klus niet.
Dan is je probleem opgelost

 

[Tazmanian]

Nee snap ik, is zo gefixed. Maar een extra wifi netwerk neemt weer bandbreedte weg van de andere wifi netwerken, of zie ik dat verkeerd?

 

[Guido64]

Zoals eerder door meerderen hierboven beschreven kan je niet ip (ranges) in hetzelfde subnet blokkeren.
Wat je eventueel wel nog kan doen en misschien dat je dat helpt is dat je port isolation kan instellen.
Dan kan een systeem dat op die poort is aangesloten geen verbinding meer maken met andere isolated ports.

https://help.ui.com/hc/en-us/articles/360039311974-EdgeSwitch-EdgeSwitch-X-Port-Isolation

 

[Hofstede]

Een extra WiFi netwerk neemt geen bandbreedte weg.

 

[kdejonge]

Is dit ook geen optie binnen UDM?

 

[Guido64]

Als die verschillende subnetten dan ook nog in aparte VLANs stopt.
Dan heb je verschillende gescheiden (layer 3) netwerken (subnetten) voor bijvoorbeeld wifi gebruikers, voor IOT devices, voor je gewone LAN etc.

Ik gebruik pfSense als Router dus ik heb geen kennis van Ubiquiti routers maar dit is gewoon wat je met netwerken kan doen dit kan ook met een Ubiquiti router.

 

[Hofstede]

Het ging hier om verschillende bereiken binnen een en hetzelfde subnet. Dat gaat niet, welke router je ook gebruikt.

 

[pen]

Als de systemen van 10.52.0.200-254 nergens naar toe mogen en alleen maar met elkaar mogen communiceren dan zou je mogelijk met het subnet masker kunnen spelen. De vraag alleen is wat de systemen 200-254 mogen? Alleen met elkaar communiceren? Als dit een compleet geisoleerd netwerk is dan zou een klasse 10.52.0.192/26 mogelijk zijn. Systemen dan zonder default gateway configureren dan kunnen ze elkaar alleen zien.