4

Например, у меня есть 3 компьютера в домашней сети: машина A машина B машина C

То, что я хотел бы сделать, это изолировать "Машину C", чтобы она не могла общаться с "A" или "B" и наоборот. Это должен быть совершенно отдельный объект.

Допустим, я использую Linksys E4200. Есть ли хороший способ настроить вышеуказанный сценарий с прошивкой по умолчанию? Возможно ли это с прошивками не по умолчанию, такими как DD-WRT или Tomato? У меня нет опыта с этим, но у меня нет проблем с обучением.

Насколько я понимаю, это можно сделать, поместив "Машину С" в DMZ. К сожалению, мне сказали, что многие домашние маршрутизаторы не имеют безопасного способа настройки DMZ по умолчанию. Решение с двумя маршрутизаторами может работать, но все же требует ограничения административного доступа с "Машины C" и добавляет дополнительную потенциальную точку отказа.

РЕДАКТИРОВАТЬ:

Судя по всему, чтобы иметь надлежащие правила брандмауэра, мне нужен дополнительный маршрутизатор.

|источник

2 ответа2

2

Первое, что пришло мне в голову - это брандмауэр.

Вы можете создать правила брандмауэра на компьютере C, которые не разрешают какие-либо TCP-подключения к 192.168.xx или с него (или все, что настроено для использования в локальной сети), но разрешают другие исходящие подключения. Вы должны были бы специально разрешить соединения с вашим роутером. Конечно, вы должны иметь возможность заблокировать эту конфигурацию, чтобы никто не мог изменить правила брандмауэра.

В этом случае вы также можете изменить брандмауэры на машинах A и B, чтобы они также не инициировали и не получали пакеты от машины C.

Я не очень хорош в искусстве ASCII, но вы также можете выбрать другой маршрутизатор. Позвоните своему текущему маршрутизатору R1, и ваша сеть будет 192.168.1.x. Возьмите R2, сделайте его клиентом R1, а компьютер C - клиентом R2, сам по себе, с сетью 192.168.2.x. (Машины A и B по-прежнему на R1, 192.168.1.x). Поиграйте с брандмауэром на R2, разрешив 192.168.2.1, но отвергнув все остальное 192.168.xx Это должно стоить вам около 50 долларов США, плюс некоторое время. По сути, вы создаете свою собственную DMZ. Машина C теперь имеет двойной NAT-интерфейс, что может быть хорошим или плохим, в зависимости от того, что она делает. Если это сервер, теперь вы должны разрешить подключения из Интернета через R1 и R2. Межсетевые экраны на машинах A и B будут настроены на 192.168.2.x. Вы по-прежнему можете запускать брандмауэр на компьютере C, но тогда у вас по-прежнему будет установлен аппаратный брандмауэр на R2, если он будет скомпрометирован.

Кстати: замена стоковой прошивки на E4200 может быть хороша по другим причинам. Некоторые версии прошивки позволили Cisco "управлять облаком". Кроме того, я не уверен, что вы можете отключить WPS (который был сломан) через стоковую прошивку. Если вы сделаете это, вы можете прокомментировать и сообщить мне, как это работает? У моего дяди есть E4200, который я собирался перепрошить в свое бесконечное свободное время.

|источник
2

Вы должны поместить машину C в свой собственный диапазон сети. Это лучший способ изолировать машину и защитить другие машины, которые живут на своем собственном IP-диапазоне. Единственная проблема заключается в том, что вам может понадобиться дополнительный маршрутизатор с портами DHCP и WAN или коммутатор, поддерживающий NAT. Возможно, ручная настройка ПК C тоже подойдет. По сути, создание двух сетей.

Ваша основная сеть (по умолчанию из коробки)

  • WAN IP: Pulbic IP от провайдера
  • IP LAN: 192.168.0.254 (маршрутизаторы IP)
  • DHCP: 192.168.0.254 (192.168.0.y - 192.168.0.z)
  • Шлюз: 192.168.0.254

Ваша защищенная сеть (настроена)

  • WAN IP - 192.168. 0.x (со второго маршрутизатора DHCP)
  • IP LAN - 192,168. 1, 254
  • DHCP: 192,168. 1.254 (192.168. 1.y - 192.168. 1.z)(для 2-й сети)
  • Шлюз: 192.168. 0.254 (только для выхода в Интернет)

Руководство

В вашем руководстве E4200 на стр. 9 есть раздел о продвинутой маршрутизации. Это может быть решение или метод, который поможет вам создать отдельные сети. В идеале, новые маршрутизаторы предлагают виртуальные сети и тому подобное, чтобы помочь вам лучше управлять этим.

альтернативы

Это заранее, но это один из предпочтительных для всех хороших сисадминов!

Вы можете заменить свой текущий маршрутизатор усовершенствованным совместимым с pfSense маршрутизатором или ПК. Он может (и должен) полностью заменить роутер у вашего провайдера. Вам нужно посмотреть список совместимости и выбрать маршрутизатор по своему вкусу. Требуется установить на него pfsense, который является FreeBSD. Информация говорит это для использования в качестве межсетевого экрана и маршрутизатора. Роутер это то что вас интересует. Но это делает намного больше!

Вы можете установить прокси, squid, throttling, dns и т.д. PfSense позволяет создавать как можно больше сетей и настраивать их по своему усмотрению!

Использование брандмауэров на компьютерах само по себе не является решением проблемы. Я не могу дать вам ложное чувство безопасности, но брандмауэры предназначены для защиты входящих подключений к данному компьютеру. Блокировка стандартных портов вызовет неожиданные долгосрочные осложнения для вещей, которые были разработаны, чтобы облегчить жизнь!

- Редактирование добавлено после того, как ответ принят.

Некоторая внешняя ссылка, в которой 2 системных администратора Techsnap 101 согласны с тем, что брандмауэры не являются защитой компьютера друг от друга. Перемотка вперед до конца. Также, как изолировать машину от сети, используя VLAN, NIC или Routes для очень точного вопроса, который вы задали здесь

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .