Мне интересно, может ли кто-нибудь сказать мне, будут ли следующие настройки сети работать должным образом, и есть ли какие-либо предупреждения / красные флаги для адресации.

Начнем с того, что: 1) основное устройство, на котором запущен веб-сервер, должно иметь доступ к Интернету, а воздушный принтер подключен к той же сети Wi-Fi; 2) другие устройства должны иметь возможность подключаться к веб-серверу с использованием внутреннего IP-адреса. (т.е. не через Интернет) 3) другие устройства не должны иметь доступа к воздушному принтеру или Интернету.

Я определил хороший дешевый маршрутизатор TP-LINK, который поддерживает использование USB-ключа 4G для подключения к Интернету, а также, по-видимому, возможность блокировать доступ к веб-сайтам, которых нет в белом списке. Я ценю, что блокировка сайтов!= блокирование интернета, но сейчас давайте двигаться дальше. Хотя этот маршрутизатор может предоставлять гостевую сеть для подключения других устройств, он, по-видимому, не может запретить этим подключениям выборочно разрешать доступ к определенным IP-адресам локальной сети (т. Е. Устройству, на котором работает веб-сервер), что означает, что он, скорее всего, будет возможность видеть AirPrinter. Я проверил что-то подобное на своем домашнем маршрутизаторе Asus, и действительно, пока включен доступ к локальной сети, подключенное гостевое устройство может видеть мой AirPrinter. Плохой!

Мое решение для этого - добавить второй маршрутизатор TP-LINK, работающий в режиме точки доступа, подключив его к первому маршрутизатору, определив другой SSID, а затем подключив все остальные устройства ко второму маршрутизатору. Я попробовал это также дома, и в моем тесте второму маршрутизатору был присвоен IP в той же подсети, что и основной маршрутизатор, и, хотя я мог нормально подключиться к нему с помощью своего телефона, я не мог видеть AirPrinter, который был подключен к основной роутер. Однако я все же смог подключиться к веб-серверу, работающему на главном маршрутизаторе. Отлично.

Я действительно ищу подтверждение этого подхода, любые предложения о том, как его можно улучшить (например, привязать второй маршрутизатор в подсети, а затем разрешить маршрут от него до определенного IP-адреса веб-сервера на главном маршрутизаторе?) и если есть какие-либо более эффективные способы полностью заблокировать доступ в Интернет со второго маршрутизатора (а не просто с помощью белого списка на главном маршрутизаторе).

ура

1 ответ1

0

Этот подход, вероятно, не очень безопасен, но может остановить случайные попытки доступа к принтеру. Я ожидаю, что хотя принтер не может быть сканирован (поскольку он не находится в той же подсети, что и устройства, сканирующие его), вы можете добавить принтер по IP-адресу. Скорее всего, вы даже можете найти IP-адрес, выполнив сканирование порта. (Возможно, вам повезет больше, если вы поменяете местами первый и второй маршрутизаторы - IE использует принтер и веб-сервер за NAT, использует сопоставление портов и добавляет маршруты к основному маршрутизатору, что изолирует принтер и веб-сервер, однако у вас будет трудности с ограничением интернета с этим решением)

Более жизнеспособный подход

Это не тривиально (но, опять же, любое хорошее решение этой проблемы будет нетривиальным), но если вы получите маршрутизатор, способный запускать на нем dd-wrt и flash dd-wrt, вы сможете сделать все, что вы хотите желая сделать - ниже приведено общее руководство по грубым шагам -

Вы хотите создать 2 SSIDS (виртуальные сети) - одну для сервера и принтера, а другую для других ваших устройств. Это довольно просто сделать - вы просто добавляете виртуальные интерфейсы в меню Wireless-> Basic Settings. Вы захотите, чтобы конфигурация сети была не соединена, и чтобы предоставить второй IP-адрес и маску подсети для основного SSID. Я не играл с ним, но я представляю, что если вы оставите устройства с отключенным NAT, подключенные по второму SSID, не смогут подключиться к Интернету.

После того, как вы применили это, вы перейдете в Setup -> Networking и, в опции DHCPD, добавите диапазоны IP-адресов для SSID.

Затем вы захотите назначить принтеру статический IP-адрес - вы можете сделать это на самом принтере, или вы можете использовать Статический лизинг в разделе Сервисы -> Статический лизинг. Вы хотите сделать что-то подобное для веб-сервера.

Последняя часть, в которой все становится немного сложнее, - это написание правил брандмауэра для ограничения доступа к принтеру. Есть несколько способов сделать это. Я не играл с этим методом, но самый простой способ - это, вероятно, написать соответствующие правила в разделе администрация -> команды. Идея заключается в том, чтобы написать правило, которое разрешает доступ только к серверу и маршрутизатору (чтобы клиенты могли выполнять поиск DNS) со второго SSID. Есть много способов сделать это, которые будут слегка различаться в зависимости от вашей конфигурации - но вы смотрите на добавление правил, таких как:

/sbin/iptables -I FORWARD -s SSID2.IP.RANGE netmask SSID.IP.NETMASK -j DROP
/sbin/iptables -I FORWARD -s SSID2.IP.RANGE -d IP.ADDR.OF.SERVER -j ACCEPT

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .