Brandvägg - Ska man arbeta med ip range eller ip för ip
Jag kör opnSense men det här tillämpar sig på dem mesta brandväggarna.
Jag har delat upp mitt nätverk i flera vlans:
Lan: router/brandvägg, proxmox med tillhörande vm's så som home assistant
Office (min dator)
IoT(sonos, shelly, tv)
Home (lever familjens enheter så som telefoner, datorer osv)
Vissa vlans tillåts komma åt andra vlans och andra (tex IoT) inte får komma åt något annat vlan. Där behöver jag tillämpa undantag, tex så behöver sonos få komma ut ifrån IoT och komma åt home där telefonerna finns så att dem kan kommunicera sins i mellan.
Där uppstår frågetecknen hur jag bäst tillämpar detta. Om man tar IoT så ska det inte komma åt internet förutom vissa enheter.
Brukar ni försöka att tänka i ip ranges så att tex man vet att mellan 50-100 så ska dem enheterna få komma åt internet och placera tvn där i. Samt 80-120 ska få komma åt home vlanet? Så tex sonos hade fått någon stans mellan 80-100.
Det kanske är lite tydligare i brandväggens regler men det kan ju uppstå problem när man ev fyllt 80-100 och 101-150 är upptaget av andra regler.
Är det då bättre att ge brandväggsregler till varje enhet som ska vara en del i undantaget? Tex ip (sonos) ska få tillgång till internet samt komma åt Home. Samma åt det hållet ska man speca exakta vilka enheterna som den ska få komma åt eller ska hela vlanet vara tillgängligt? Då kanske det är bättre lägga sonos i home vlanet istället? Okej inte så ofta men tex om man skaffar en till mobil så måste man in i brandväggen och ge sonos möjlighet att komma åt den. Det blir ju brandväggsunderhåll så fort en ny enhet kommer in i huset.
Även om jag använder mig av leasing och sätter statiska ipn till en hel enheter så känns det ju inte helt genomtänkt att basera det på ett ip som ev skulle kunna hamna på en annan enhet?