Как настроить брандмауэр на компьютере по локальной (беспроводной) сети, при этом позволяя машине маршрутизировать интернет-трафик?

Question

У меня есть общее DSL-соединение, и я знаю, что некоторые пользователи постоянно заражают свои компьютеры, поэтому я беспокоюсь о сетевой безопасности. Мой компьютер - единственный, подключенный к модему (который также является беспроводной точкой доступа) кабелем Ethernet (интерфейс eth0), каждый второй пользователь подключен к беспроводной сети (интерфейс wlan0).

Какие меры мне следует предпринять, чтобы изолировать или защитить мой компьютер? Я знаю, что если кто-то подключен к беспроводной сети, он может перехватывать и читать пакеты, отправляемые с помощью таких программ, как Wireshark и ettercap, так как я могу избежать чтения отправляемых пакетов или, если это невозможно, какие еще меры предосторожности я должен предпринять?

Я не ищу ответы типа «вы не должны делиться своей сетью с ними в первую очередь», так как это имеет место как дома (с моими соседями по комнате), так и на работе (поэтому я не могу с этим поделать ).

Некоторые настройки, которые могут иметь отношение:

On/Auto

NAT
LAN to LAN (intra LAN) multicast
WMM(Wi-Fi Multimedia)
WMM APSD
Client Isolation

от

Wireless Multicast Forwarding
Support 802.11n Client Only
OBSS Co-Existance
WMM No Acknowledgement
WPS
IGMP Snooping
QoS (quality of service)
LAN side firewall

Другой

Network Authentication - mixed wpa2/wpa - psk   
WPA/WAPI Encryption tkip+aes
DHCP slots match the number of clients

Включение брандмауэра на стороне локальной сети привело к тому, что я потерял соединение с интернетом, поэтому я больше не хочу ничего портить - я не сетевой эксперт.

Группировка интерфейсов:

Group Name | WAN Interface | LAN Interfaces
Default    | ppp0          | eth3
           |               | eth2
           |               | eth1
           |               | eth0
           |               | wlan0

Статистика LAN показывает, что только eth0 и wl0 передают / получают данные.

Моя операционная система - Debian 6.0.7 (squeeze)

Answer 1

Из того, что вы написали, вы в настоящее время находитесь в той же сети, что и ваши друзья - хотя кажется, что инфекции, которые они в настоящее время не пытаются заразить вас (так как только eth0 и wl0 передают / получают данные).

Если я правильно понимаю, изоляция клиента может немного помочь, но, вероятно, не поможет.

Реальное решение состоит в том, чтобы обеспечить запуск брандмауэра на вашем компьютере или, если вы предпочитаете, получить второй маршрутизатор и подключить основной маршрутизатор к маршрутизатору, а затем ваш компьютер к маршрутизатору. Это не "отличное решение" из-за проблем с двойным натом, но оно даст вам гораздо лучшую меру защиты и изоляции от их сети.

Answer 2

Я бы предложил получить маршрутизатор с гостевой сетью, отличной от основной сети WiFi.

Это позволит разделить беспроводную сеть на две отдельные подсети, так что ненадежные компьютеры могут вообще не иметь доступа к вашей сети, в то время как вы все еще можете безопасно подключать беспроводные устройства к вашей собственной сети.

Следующая лучшая вещь - это получить маршрутизатор, который легко поддерживает DD-WRT (т.е. без какой-либо механической работы), в котором можно таким образом разделить сеть. DD-WRT также поддерживает QoS, которая может ограничивать пропускную способность других пользователей, если они чрезмерно используют Интернет.

В последнем случае см. Безопасный доступ к Интернету с друзьями и соседями.

Answer 3

У вас одна из самых безопасных ОС на планете, и ей просто нужно немного настроить, чтобы защитить свой трафик. Как далеко вы хотите пойти, зависит от вас, но вы должны учитывать:

• Настройте свои iptables. Решите, какие услуги вы хотите разрешить, и заблокируйте все остальное
• Подумайте о защите своего веб-трафика с помощью Privoxy/Tor
• Используйте безопасные версии imap/pop (TLS или SSL)
• Рассмотрим SSH-туннели или VPN для доступа к другим сайтам.

Это не то место, куда можно пойти, КАК все это сделать, потому что это долгий процесс с большим количеством вариантов и большим количеством интернет-ресурсов, которые помогут вам.

Одна последняя вещь. IPTables (ваш брандмауэр) имеет очень четкие различия между маршрутизацией (FORWARDing) и доступом к вашей машине (INPUT). Вы можете направлять все что угодно, не предоставляя доступ ни к одной из ваших местных служб.

Answer 4

Многие маршрутизаторы имеют порт DMZ, к которому можно подключить WIFI-маршрутизатор / точку доступа. Это позволит сегментировать вашу сеть так, как вы хотите. Вы также можете приобрести коммутатор и другой маршрутизатор и подключить все проводные клиенты к новому маршрутизатору и оставить беспроводных клиентов на точке доступа. (Используйте разные подсети)

Answer 5

Если вы все равно подключены к беспроводной сети и хотите поддерживать беспроводное соединение, я бы предложил отключить дешевый компьютер с eBay с двумя сетевыми картами и установить на него pfSense . pfSense действительно прост в управлении и делает его отличным брандмауэром, который должен обеспечивать безопасность вашего компьютера. С точки зрения отслеживания, это действительно зависит от вашего Wi-Fi-маршрутизатора: если он наполовину приличный, он не должен отправлять проводной трафик через беспроводную сеть, если он специально не пытается связаться с беспроводной машиной, потому что таблицы маршрутизации не будут прямые пакеты там.

Answer 6

У вас есть Debian на ПК? Это достаточно безопасно (по сравнению с окнами). Единственное, чего вы можете бояться от своих друзей - это использовать атаку MIM на уязвимых для таких протоколов атак. Но Вы должны подразумевать - такая атака также потенциально возможна в Интернете (но там такая атака намного труднее осуществить соседями по комнате).

В идеале вы должны настроить WLAN и LAN как отдельные подсети и настроить брандмауэр в маршрутизаторе (модеме), но это выглядит слишком простым для этого.

Вы можете настроить другой компьютер или маршрутизатор NAT между вашим компьютером и другой сетью. Но этот роутер просто другой компьютер Linux.