Это возможно, но я, конечно, не уверен, что это разумно.
FreeNAS, основанный на FreeBSD, имеет полную возможность использовать встроенный в него пакет межсетевого экрана / маршрутизации pf , который может легко создавать мостовые интерфейсы, которые будут делать то, что вы хотите. По сути, коммутатор / мост - это просто сетевое устройство для передачи пакетов, и как только внешняя линия становится пакетной передачей данных на модеме, любой коммутатор / мост Ethernet легко подключит его к вашему модему, если вы захотите иметь коммутатор или мост между ними. Так что, если вы настаивали на этом, то да, вы можете настроить 3 из 5 портов вашего NAS, чтобы порты 0+1 были соединены без IP-адреса (крайне важно, чтобы люди снаружи могли получить к нему доступ) и использовали для подключения модема к маршрутизатор, а порт 2 используется для NAS -> LAN с установленным IP-адресом управления.
Но бог знает, я бы никогда этого не сделал.
Во-первых, ваш маршрутизатор действует (в идеале) как шлюз, который защищает ваши локальные устройства от внешних воздействий. Мост, даже без IP, является внутренним устройством незащищенным. Предположим, вы неправильно настроили его, или обновление FreeNAS не соответствует вашей точной конфигурации сети (особенно, если его нужно было настраивать вручную вне графического интерфейса)? Тогда ваш NAS и его данные могут быть беззащитны, и, поскольку он также находится на стороне маршрутизатора через локальную сеть через другие интерфейсы, вы просто дали кому-то ключи для обхода чего-либо на вашем маршрутизаторе.
Да, компании помещают серверы в DMZ. Но они рассматривают, что на них и как это обеспечено, гораздо глубже, чем вы или я. Даже в этом случае они часто прокси-сервер (таким образом, внешний пользователь фактически достигает прокси-сервера или «прыгуна», а не фактического сервера), чтобы улучшить безопасность и контролировать происходящее.
И для чего? Для мониторинга данных? Если вы хотите отслеживать трафик между ними, сделайте это на маршрутизаторе или даже получите недорогой коммутатор с зеркалированием портов и вставьте его между ними. Даже 100-битный 4-8-портовый управляемый коммутатор из 10-15 лет назад на EBay может иметь такую возможность. Или вы упомянули, что pfSense -it имеет встроенную функцию регистрации и захвата пакетов на порту, соединяющем его с модемом, если он используется в качестве маршрутизатора. Купите старую материнскую плату и 2 Гб оперативной памяти, и сделайте это. Но ради любви к Богу, если вы не уверены в себе и своих ноу-хау, не делайте то, что вы описываете :)
Обновление о зеркалировании и безопасности
У вас есть 3 варианта - мониторинг в программном обеспечении (pf или tcpdump во FreeBSD), использование концентратора или использование управляемого / интеллектуального коммутатора.
При использовании программного обеспечения, даже если оно подключено к мосту, вам все равно нужно настроить зеркалирование пакетов или (для FreeNAS) перехват пакетов без помощи в CLI, потому что это не функция в графическом интерфейсе FreeNAS, даже если она существует в установленной ОС. Так что вам нужно понять, как это сделать, хотя это не сложно. Очевидно, вы можете сделать зеркалирование портов во FreeBSD, либо используя опцию pf.conf dup-to , либо используя tcpdump который почти всегда встроен, для касания и дублирования трафика или захвата его в файл, но я не знаю деталей , Это были бы способы сделать это, хотя. Я бы так не поступил из-за проблем безопасности, как указано выше.
Старый потребительский сетевой концентратор (не "коммутатор"!) может быть очень дешево и тоже работать, но я бы не пошел по этому пути из-за (адресуемых) проблем безопасности. Суть концентратора в том, что он отражает весь трафик на все порты. Если вы используете кабель [модем -> концентратор -> маршрутизатор], то любое устройство может прослушивать. Но я бы не стал этого делать по двум причинам - во-первых, хабы более устарели и их может быть сложно достать, но гораздо важнее, если они могут подследить, их можно обнаружить и, возможно, создать слабость, которую можно взломать / проникнуть потому что, опять же, он напрямую связан с внешней стороной и обходит маршрутизатор. Поэтому я упоминаю это для полноты, а не потому, что это обязательно хорошая идея!
Управляемый коммутатор , вероятно, был бы лучшим, потому что он изолирует трафик от вашего NAS и предназначен для работы, а небольшие интеллектуальные коммутаторы очень дешевы на EBay и т.д. Как я уже говорил, даже многие годы справятся с этой задачей. Но убедитесь, что на нем установлен некоторый конфигурационный файл безопасности, и внимательно проверьте / рассмотрите вопросы безопасности по той же причине, что я указывал для концентратора. Возможно, зеркальные порты спроектированы так, чтобы быть безопасными по своей сути, и это все, что вам нужно, но я не знаю достаточно, чтобы сказать об этом больше. Вы можете спросить отдельно о защите порта управляемого коммутатора, подключенного к глобальной сети, который используется только для мониторинга глобальной сети (зеркального отображения трафика) и не защищен маршрутизатором или брандмауэром. В этом может помочь обмен стеками.
