Так что я немного поиграюсь с домашними серверами (в основном в целях обучения). Проблема в том, что я делаю все это в своей домашней сети, хотя я, как правило, никогда не открываю порты на моем маршрутизаторе и сохраняю все в своей локальной сети, для некоторых вещей я хотел бы открыть порты маршрутизатора. Видя, что я не эксперт, я ищу более безопасный способ сделать это.

Сильфон это образ того, что я думаю делать. В основном субаренду в сети, но я не знаю, насколько это безопасно. Я открыт для любых новых идей также:

Идея сети

Я не единственный в этой сети, его тоже используют моя жена и дети. Я не хочу открывать порт для службы и подвергать риску всю мою сеть. Если у вас есть другие решения этой проблемы, я открыт, чтобы услышать это, спасибо!

РЕДАКТИРОВАТЬ: Модем, который я имею, является стандартным, предоставленным моим провайдером. У него есть подключение к сети Ethernet и DSL-соединение, больше ничего. Переключатель, который я буду устанавливать, будет netgear prosafe GS108T. Этот коммутатор управляется и поддерживает VLAN.

Коммутатор имеет: IEEE 802.1Q Static VLAN (64 группы, Static)

Мой модем - ARRIS CM820A.

|источник

3 ответа3

2

Это не сработает. Люди, комментирующие ваш региональный вопрос, верны; Вы не можете поместить переключатель уровня 2 перед модемом. Ваш Интернет-провайдер почти наверняка не позволит подключить несколько маршрутизаторов «напрямую» к модему. Они не дадут вам 2 IP-адреса, поэтому вы должны установить здесь маршрутизатор, устройство уровня 3, чтобы разделить 1 IP-адрес с двумя сетями.

Маршрутизатор, расположенный непосредственно за вашим модемом, будет работать в двух сетях: демилитаризованной зоне (DMZ - ваша общедоступная сеть) и частной внутренней сети. Маршрутизатор будет обрабатывать маскировку NAT для обеих сетей для получения доступа к Интернету, и вы будете перенаправлять порты на службы только в вашей DMZ. Вы можете установить очень специфические правила брандмауэра для любого трафика, который должен проходить между DMZ и внутренней сетью, например SSH для определенных машин.

Для этого предпочтителен маршрутизатор коммерческого типа. Ubiquiti Edge Router X - популярный выбор среди про-сумеров, которые стоят около 50 долларов. Если у вас есть запасной компьютер, pfsense также является приемлемым вариантом. Я не рекомендую заменять встроенное ПО на потребительских маршрутизаторах, так как эти маршрутизаторы имеют аппаратное ограничение; порты локальной сети постоянно находятся в одной и той же локальной сети, и аппаратная поддержка VLAN может не поддерживаться. Эти маршрутизаторы предназначены только для одного использования сети. Поэтому в лучшем случае ваша сеть будет работать медленнее из-за маршрутизации процессора, в худшем случае ваша изоляция VLAN не будет работать, потому что аппаратное обеспечение не обеспечивает ее, и вы не будете иметь никакой безопасности. ER-X и pfSense имеют Wizards для конфигурации 2 LAN и много ресурсов онлайн для настройки конфигурации в соответствии с вашими потребностями. Посмотрите, что вы предпочитаете, и оставьте больше вопросов, если они у вас есть.

|источник
0

Вопрос в том, какой безопасности вы хотите достичь. На выложенной вами схеме есть только картинка. Вы не указали, какой IP-адрес вы получаете от провайдера (public/private, fix/dhcp), какие другие сервисы предоставляют вам провайдера (прокси, dns, smtp/pop/imap, MX). Какие ОС используют ваш ПК / серверы. Вы хотите запустить свой собственный dhcp, mail, web, file, dns или другой сервер?

Нельзя забывать, что безопасность не означает: "нет открытого порта", так как многие бедствия произошли из-за поведения клиентского ПК (открытие поддельной электронной почты, вредоносное ПО на веб-странице и т.д.).

Что ж, моя ситуация очень похожа: провайдер (предоставляющий открытый IPv4-адрес dhcp) <-> модем <-> интеллектуальный маршрутизатор на основе Linux /switch /proxy /cachingDNS /ntp <-> домашние ПК, работающие под управлением Linux, и если мой дочерний компьютер хочет играть в игру под управлением MS-Windows она использует виртуализированный компьютер KVM-Qemu и виртуальное HD в режиме моментального снимка. Следовательно, даже она может подхватить вирус, перезапустив виртуальную машину, и система вернется в новое состояние. Я могу иногда запускать любой разумный публичный сервер, либо на Linux-шлюзе, либо на любой домашней машине, предоставляя ему переадресацию портов или обратный прокси-сервер. Более 15 лет у меня не возникало серьезных проблем (да, сбой жесткого диска), изначально он был запущен на одном ядре AMD Athlon64 в качестве шлюза linux, около двух лет назад я перешел на маршрутизатор BananaPi (форк RasberyPi).

Другой важной частью безопасности является, конечно же, регулярное резервное копирование. Настоятельно рекомендуется сохранить весь работающий системный диск как образ диска и выполнять резервное копирование данных с разумной регулярностью.

Линукс, что еще.

|источник
0

Поэтому после долгих исследований и изучения я понимаю, что вы, ребята, имеете в виду. Итак, я получил ИСПОЛЬЗОВАННУЮ сетевую плату сетевого адаптера Ethernet Ethernet PCI Quad Port 1Gb Intel Optiplex 3020 и Intel PRO 1000 PT. Я буду настраивать dell в качестве брандмауэра pfsense и использовать его для управления моей сетью и настройки моих vlans.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .