У меня есть дополнительный настольный ПК с двумя сетевыми картами, которые я хотел бы использовать в качестве домашнего брандмауэра. Я установлю дистрибутив Linux, предназначенный для использования в качестве брандмауэра на рабочем столе.

Я думал о том, чтобы разместить его между кабельным модемом и беспроводной сетью:

модем <-> desktop_NIC1 <-> (программное обеспечение брандмауэра) <-> desktop_NIC2 <-> беспроводной маршрутизатор <-> ноутбуки, iPad и т. д.

Я полагаю, что это должно быть здесь, чтобы фильтровать трафик для всей моей сети, верно? Я вижу недостаток в том, что брандмауэр не будет знать, с какой машиной ассоциировать трафик, поскольку он находится за пределами сети маршрутизатора.

Это правильно? Если нет, как бы вы предложили это сделать?

2 ответа2

0

Для трафика, проходящего через брандмауэр, он отслеживает через NAT, какая машина запрашивала соединение, поэтому, когда трафик ответа / ответа возвращается, брандмауэр знает, куда его отправить. Чтобы сделать сервисы на машине -inside доступными для внешнего трафика, вы должны открыть порт на брандмауэре.

Похоже, у вас также есть маршрутизатор перед брандмауэром, правильно? Брандмауэр может быть ненужным, если между вашими внутренними машинами и общедоступными сетями / Интернетом уже есть маршрутизатор.

0

Это выглядит правильно, как вы описываете ... но я бы посоветовал настроить ваш "беспроводной маршрутизатор" и посмотреть, есть ли у него режим "AP" или "Точка доступа", а не пытаться NAT/ маршрутизировать трафик. Как правило, вы увидите увеличение производительности беспроводных подключений ... поскольку большинство устройств Wi-Fi-маршрутизаторов имеют очень ограниченный ЦП ... и маршрутизация / межсетевой экран / NAT-сервер потребляют то небольшое количество ЦП, которое у них есть. Иногда самый простой способ сделать это - просто отключить DHCP-сервер внутри него ... установить статический адрес локальной сети внутри вашей локальной сети ... и подключить один из портов локальной сети к вашей локальной сети (и ничего к глобальной сети).

Что касается брандмауэра ... он должен очень хорошо знать, как правильно NAT-трафик из глобальной сети в локальную сеть ... в противном случае это не очень хороший программный брандмауэр.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .