как разделить сеть с 23 маской на две 24

Здравствуйте. Есть шлюз на CDS. Сеть 192.168.0.0/23. Адреса 192.168.1.1-252 раздаются по dhcp для гостевого wifi. 192.168.0.х - офис.Как сделать так чтобы компы из 192.168.0. не были видны и доступны из гостевого wifi (сетевое окружение и т.д.)??? На CDS 2 сетевухи - 1 на приход инета, вторая смотрит в локалку. Локалка с точками wifi физически в одной сети.
Или посоветуйте убогому как это грамотнее сделать.

Если нет возможности физически разорвать сети или хотя бы их отVLANить, то я бы использовал IP Aliasing.

Сетевуха, смотрящая в локалку, рвется на 2, к примеру:

eth1:0 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255
eth1:1 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255

После подобного финта станет доступен обычный метод фильтрации iptables.
Если требуется исключить из “сетевого окружения” можно запретить broadcast форвард между сетями.

Ну или их совсем изолировать.

Я делал по мануалу, представленному на данном сайтe,в качестве файервола - shorewall.
eth1:0 и eth1:1 - будут пониматься системой как 2 физические сетевухи?
Т.к. в iptables я пока ни бум-бум возникает вопрос поймёт ли это shorewall (можно ли алиас прописывать в shorewall как физ интерфейс)и есть ли место где это описано подробнее (так чтобы вообще эти сети изолировать, включая сетевое окружение). И спасёт ли данное решение от сканеров сети???

Это и есть физические сетевухи. За этим и нужен был сей финт.

Я не пользуюсь Shorewall, так как iptables сам по себе просто и удобен.
А в данном случае можно попробовать запретить форвард трафик с одной в другую сетевухи.
Примерно так:

iptables -A FORWARD -i eth1:0 -o eth1:1 -j DROP
iptables -A FORWARD -i eth1:1 -o eth1:0 -j DROP

Просто и хардкорно.

Если я пишу в /etc/conf.d/net
config_enp2s0=“192.168.0.1/24 192.168.1.1/24”
В этом случае второй адрес пингуется, но если я правильно понимаю это назначение одной сетевухе второго адреса, а мне нужно разделить на 2-е
Если прописываю
config_enp2s0:0 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255
config_enp2s0:1 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255
писал и с кавычками и без, и в данном варианте и в виде 192.168.0.1\24
не хочет и монтирует мне dhcp, т.е. не понимает
Если Вас не затруднит, распишите, пожалуйста последовательность

 # cat /etc/conf.d/net
...
config_enp2s0=(
        "192.168.0.1 netmask 255.255.255.0 brd 192.168.0.255"
        "192.168.1.1 netmask 255.255.255.0 brd 192.168.1.255"
)
...
 # /etc/init.d/net.enp2s0 restart

Появится 2 интерфейса: enp2s0 = 192.168.0.1/24 и enp2s0:1 = 192.168.1.1/24

Соответственно для первой сети dgw = 192.168.0.1, а для второй сети dgw = 192.168.1.1

Вот в том то и дело, что enp2s0:1 не появляется. Второй адрес пингуется, но ifconfig выдает только enp2s0. “ip a” показывает что у интрфейса enp2s0 2 адреса.
когда пишу

 config_enp2s0=(
        "192.168.0.1 netmask 255.255.255.0 brd 192.168.0.255" 
        "192.168.1.1 netmask 255.255.255.0 brd 192.168.1.255" 
)

он ругается на правильность написания, отправляет в net.example (которого кстати нету), но всё-равно отрабатывает,а когда пишу вот так

 config_enp2s0=(
        "192.168.0.1/24 brd 192.168.0.255" 
        "192.168.1.1/24 brd 192.168.1.255" 
)

не ругается, но результат тот же
Я почему и начал эту тему, что второй адрес добавить могу, а вот выделить его в “физ.интерфейс” никак не получается.

Хорошо, попробуйте сперва добавить новый интерфейс с помощью <>

 # ifconfig enp2s0:1 192.168.1.1/24 broadcast 192.168.1.255

Если интерфейс таки появится, внимательней читайте маны.
Скорее всего в /etc/conf.d/net не добавлена строка

modules=( "ifconfig" )

А вообще ifconfig порядком устарел, все пользуются ip

Там стоит modules="!plug"

Виктор Николаев wrote:

Там стоит modules="!plug"

Так впишите через пробел. Можно вместо <> написать <<!iproute2>>
И посмотрите наконец примеры

vim /usr/share/doc/openrc*/net.example*

перепробовал все возможные варианты. Если в модулях пишу что-то отличное от Modules="!plug" при перезагрузке enp2s0 пишет Осторожно!!! он запущен, но не активен.
Единственный вариан когда хоть что-то работает это !plug в модулях и 2 ip на одном интерфейсе enp2s0.
на всякий проделал emerge net-tools.
в модулях оставил (вроде не ругается “!plug !ifconfig”)
но ничего кроме 2 адресов на одном интерфейсе сделать не получается.
Может в калькулейте особенность какая…хотя какая, но всё-же
Не буду переписывать всё выше Вами посоветованное, но ни один вариант не сработал.

проблема решилась явным указание в /etc/conf.d/net того, что не хочу я использовать iproute2, т.к. даже в example сказано, но алиасы он поднимать не умеет. После добавления в modules “!iproute2” алиас поднялся.
Но проблемы мои на этом не закончились.
Shorewall (файерволл который стоит у меня) не умеет работать с виртуальными интерфейсами, о чём честно и говорит при рестарте.
Я пошёл другим путём - вставил ещё одну сетевуху. Всё хорошо.
Конфигурация такая
Смотрит в инет enp3s0 - внешний IP
смотрит в лок сеть №1 enp2s0 192.168.0.0/24 ip шлюза (свой локальный ip) 192.168.0.250
смотрит в лок сеть №2 enp4s6 192.168.1.0/24 ip шлюза 192.168.1.0/24 для wifi
Поднят dhcp на диапазон из 192.168.1.0/24 для wifi
Но интрнета в новой сети нет.
Причёим если для DHCP задаю сеть 192.168.0.0/23 с шлюзом и DNS 192.168.0.250- инет появляется. DHCP выдает адреса из 1 подсети и интернет работает. Но при этом желаемого результата (невидимости 2 сетей в сет.окружении) нет.
ЧТо я не доделал??? Чего я не допонимаю.

Проблема, наверное в DNS, но вот как вторую локалку показать dns-серверу
Помогите кто чем может