Защитить мою сеть с помощью подсетей?

344
RadenBlazed

Так что я немного поиграюсь с домашними серверами (в основном в целях обучения). Проблема в том, что я делаю все это в своей домашней сети, хотя я, как правило, никогда не открываю порты на моем маршрутизаторе и сохраняю все в своей локальной сети, для некоторых вещей я хотел бы открыть порты маршрутизатора. Видя, что я не эксперт, я ищу более безопасный способ сделать это.

Сильфон это образ того, что я думаю делать. В основном субаренду в сети, но я не знаю, насколько это безопасно. Я открыт для любых новых идей также:

Network Idea

Я не единственный в этой сети, его тоже используют моя жена и дети. Я не хочу открывать порт для службы и подвергать риску всю мою сеть. Если у вас есть другие решения этой проблемы, я открыт, чтобы услышать это, спасибо!

РЕДАКТИРОВАТЬ: Модем, который я имею, является стандартным, предоставленным моим провайдером. У него есть подключение к сети Ethernet и DSL-соединение, больше ничего. Переключатель, который я буду устанавливать, будет netgear prosafe GS108T. Этот коммутатор управляется и поддерживает VLAN.

Коммутатор имеет: IEEE 802.1Q Static VLAN (64 группы, Static)

Мой модем - ARRIS CM820A.

0
Ваш начальный коммутатор не будет работать, как вы ожидаете, если ваш модем не может VLAN. Вы должны использовать маршрутизатор, который может VLAN. Это даст вам разделение, которое вы желаете, предлагая при этом наилучшую безопасность. Посмотрите на подобные OpenWRT / Tomato / и т.д. если бюджет ограничен, или посмотрите на достойный маршрутизатор бизнес-класса. Я часто играю с DrayTek, который вы можете получить довольно дешево с eBay. они могут иметь VLAN и иметь несколько функций, таких как различные DHCP-серверы, связь по локальной сети и т. д. и т. д. Kinnectus 5 лет назад 0
@ Kinnectus: я думаю, что OP просто поместил метки "сеть 1/2" в неправильном месте. На этой диаграмме они имеют смысл только под маршрутизатором, а не над ним. grawity 5 лет назад 0
@ Grawity, так или иначе, у них есть то, что можно предположить только как тупой коммутатор перед двумя маршрутизаторами и за модемом ... для того, чтобы они могли сделать диаграмму, им понадобится комплект, который может этого добиться .... или я что-то пропустил: S - Если модем - это модем / маршрутизатор (типичный домашний интернет-провайдер), то это может сработать, но им все равно потребуются некоторые возможности VLAN или интеллектуальный коммутатор с помощником DHCP и т. д., чтобы быть в состоянии направить различные подсети. Простым решением является маршрутизатор, который может сделать все это в одном устройстве. Либо с помощью VLAN на основе портов или виртуальных интерфейсов ... Kinnectus 5 лет назад 1
хорошо модем предоставляется моим провайдером ... все, что у него есть, это 1 порт Ethernet (интернет) и кабель DSL-порт. коммутатор, который я планирую использовать, - это netgear proSAFE, это управляемый коммутатор, который обеспечивает VLAN RadenBlazed 5 лет назад 0
@ Kinnectus: Предполагая, что модем - это просто модем - это может быть выполнимо, пока интернет-провайдер дает отдельный публичный адрес каждому устройству. (Некоторые интернет-провайдеры делают, большинство не делают.) Если модем фактически является третьим маршрутизатором - вполне выполнимо, потому что модем / маршрутизатор просто даст внутренние адреса 1-му / 2-м маршрутизаторам. grawity 5 лет назад 0
@Raden: Это может быть просто модем ADSL или модем / маршрутизатор, независимо от количества портов. (Проверьте, является ли это маршрутизатор, и если это маршрутизатор, имеет ли он поддержку VLAN.) Какое другое оборудование (сами 1-й / 2-й маршрутизаторы) вы планируете использовать? Поддерживают ли _they_ VLAN (хотя бы одну из них)? grawity 5 лет назад 0
Хорошо, я не уверен, что мой модем работает как маршрутизатор или нет, но я подключил свой компьютер напрямую к нему. Я сделал сканирование сети, и похоже, что я собираю все остальные маршрутизаторы в моем районе, он подобрал около 50 других устройств. они все вроде бы подключены к другому роутеру? Я сделал сканирование с помощью наблюдателя беспроводной сети RadenBlazed 5 лет назад 0
Проблема в том, что ваш модем предоставляет один публичный IP-адрес от вашего провайдера. Чтобы иметь возможность использовать несколько IP-адресов для нескольких устройств, у вас должен быть маршрутизатор, чтобы он мог преобразовывать запросы с IP-адресов локальной сети в один IP-адрес глобальной сети (NAT). Вы не можете просто подключить два маршрутизатора к одному IP-адресу, потому что ничто не направляет один IP-адрес к IP-адресам "WAN" двух маршрутизаторов (они должны отличаться для обеспечения правильной маршрутизации трафика на них). Если вы подключили оба к модему, вам нужно будет присвоить им один и тот же публичный IP-адрес - это не сработает (если только ваш провайдер не предоставит вам более одного публичного IP-адреса). Kinnectus 5 лет назад 0
Если вы используете дешевый маршрутизатор, например, с DD-WRT, вы можете создать этот требуемый маршрутизатор между вашим модемом и коммутатором. Затем вы можете создать две VLAN на коммутаторе и создать магистральный порт, чтобы VLAN могли работать с маршрутизатором DD-WRT для обеспечения требуемого NAT / разделения. Или вы можете купить устройство бизнес-класса, которое может работать с вашим коммутатором Netgear (VLAN), и вы, по сути, можете заменить функциональность, имеющуюся на диаграмме двух маршрутизаторов для каждой подсети. это снижает сложность вашей сети до двух устройств. Kinnectus 5 лет назад 0
Например, https://www.draytek.com.au/wp-content/uploads/2016/06/vlan-groups-1024x612.png - вы можете создать такую ​​же функциональность, как DD-WRT .... вы не * нужен * дорогой кусок комплекта Kinnectus 5 лет назад 0
Хорошо, я ищу маршрутизаторы бизнес-класса. Я не совсем уверен, что кто-то будет служить моей цели. Будет ли работать что-то вроде гигабитного VPN-маршрутизатора Linksys Business Dual WAN (LRT224)? RadenBlazed 5 лет назад 0

3 ответа на вопрос

2
Andy

Это не сработает. Люди, комментирующие ваш региональный вопрос, верны; Вы не можете поместить переключатель уровня 2 перед модемом. Ваш Интернет-провайдер почти наверняка не позволит подключить несколько маршрутизаторов «напрямую» к модему. Они не дадут вам 2 IP-адреса, поэтому вы должны установить здесь маршрутизатор, устройство уровня 3, чтобы разделить 1 IP-адрес с двумя сетями.

Маршрутизатор, расположенный непосредственно за вашим модемом, будет работать в двух сетях: демилитаризованной зоне (DMZ - общедоступная сеть) и частной внутренней сети. Маршрутизатор будет обрабатывать маскировку NAT для обеих сетей для получения доступа к Интернету, и вы будете перенаправлять порты в службы только в вашей DMZ. Вы можете установить очень специфические правила брандмауэра для любого трафика, который должен проходить между DMZ и внутренней сетью, например SSH для определенных машин.

Для этого предпочтителен маршрутизатор коммерческого типа. Ubiquiti Пограничный маршрутизатор Xэто популярный выбор среди просумеров, которые стоят около 50 долларов. Если у вас есть запасной компьютер, pfsense также является приемлемым вариантом. Я не рекомендую заменять встроенное ПО на потребительских маршрутизаторах, так как эти маршрутизаторы имеют аппаратное ограничение; порты локальной сети постоянно находятся в одной и той же локальной сети, и аппаратная поддержка VLAN может не поддерживаться. Эти маршрутизаторы предназначены только для одного использования сети. Поэтому в лучшем случае ваша сеть будет работать медленнее из-за маршрутизации процессора, в худшем случае ваша изоляция VLAN не будет работать, потому что аппаратное обеспечение не обеспечивает ее, и вы не будете иметь никакой безопасности. ER-X и pfSense имеют Wizards для конфигурации 2 LAN и много ресурсов онлайн для настройки конфигурации в соответствии с вашими потребностями. Посмотрите, что вы предпочитаете, и оставьте больше вопросов, если они у вас есть.

Есть также много пользовательских маршрутизаторов, где порты WAN / LAN могут быть индивидуально назначены для VLAN (поскольку SoC имеет только один порт LAN, и 1x WAN + 4x LAN сопоставляются VLAN с этим единственным портом LAN, поэтому возможность VLAN является заданной ). Откройте их, например OpenWRT [облегчает] (https://openwrt.org/docs/guide-user/network/vlan/switch_configuration) их настройку. dirkt 5 лет назад 0
0
schweik

Вопрос в том, какой безопасности вы хотите достичь. На выложенной вами схеме есть только картинка. Вы не указали, какой IP-адрес вы получаете от провайдера (public / private, fix / dhcp), какие другие сервисы предоставляют вам провайдера (прокси, dns, smtp / pop / imap, MX). Какие ОС используют ваш ПК / серверы. Вы хотите запустить свой собственный dhcp, mail, web, file, dns или другой сервер?

Нельзя забывать, что безопасность не означает: «нет открытого порта», так как многие бедствия произошли из-за поведения клиентского ПК (открытие поддельной электронной почты, вредоносное ПО на веб-странице и т. Д.).

Что ж, моя ситуация очень похожа: провайдер (предоставляющий открытый IPv4-адрес dhcp) <-> модем <-> интеллектуальный маршрутизатор на основе Linux / switch / proxy / cachingDNS / ntp <-> домашние ПК, работающие под управлением Linux, и если мой дочерний компьютер хочет играть в игру под управлением MS-Windows она использует виртуализированный компьютер KVM-Qemu, который запускает виртуальное HD в режиме моментального снимка. Следовательно, даже она может подхватить вирус, перезапустив виртуальную машину, и система вернется в новое состояние. Я могу иногда запускать любой разумный публичный сервер, либо на Linux-шлюзе, либо на любой домашней машине, предоставляя ему переадресацию портов или обратный прокси-сервер. Более 15 лет у меня не возникало серьезных проблем (да, сбой жесткого диска), изначально он был запущен на одном ядре AMD Athlon64 в качестве шлюза linux, около двух лет назад я перешел на маршрутизатор BananaPi (форк RasberyPi).

Другой важной частью безопасности является, конечно же, регулярное резервное копирование. Настоятельно рекомендуется сохранить весь работающий системный диск в виде образа диска и выполнять резервное копирование данных с разумной регулярностью.

Линукс, что еще.

0
RadenBlazed

Поэтому после долгих исследований и изучения я понимаю, что вы, ребята, имеете в виду. Таким образом, я получил ИСПОЛЬЗОВАННУЮ сетевую карту сетевого адаптера Ethernet PCI Quad Port 1 Гбит Dell Optiplex 3020 и сетевой адаптер Intel PRO 1000 PT. Я буду настраивать dell в качестве брандмауэра pfsense и использовать его для управления моей сетью и настройки моих vlans.

Похожие вопросы