Каков наилучший способ ограничить доступ к сети для одной машины в домашней сети?
Например, у меня есть 3 компьютера в домашней сети: машина A машина B машина C
То, что я хотел бы сделать, это изолировать "Машину C", чтобы она не могла общаться с "A" или "B" и наоборот. Это должен быть совершенно отдельный объект.
Допустим, я использую Linksys E4200. Есть ли хороший способ настроить вышеуказанный сценарий с прошивкой по умолчанию? Возможно ли это с прошивками не по умолчанию, такими как DD-WRT или Tomato? У меня нет опыта с этим, но у меня нет проблем с обучением.
Насколько я понимаю, это можно сделать, поместив "Машину С" в DMZ. К сожалению, мне сказали, что многие домашние маршрутизаторы не имеют безопасного способа настройки DMZ по умолчанию. Решение с двумя маршрутизаторами может работать, но все же требует ограничения административного доступа с "Машины C" и добавляет дополнительную потенциальную точку отказа.
РЕДАКТИРОВАТЬ:
Судя по всему, чтобы иметь надлежащие правила брандмауэра, мне нужен дополнительный маршрутизатор.
2 ответа
Вы должны поместить машину C в свой собственный диапазон сети. Это лучший способ изолировать машину и защитить другие машины, которые живут в своем диапазоне IP. Единственная проблема заключается в том, что вам может понадобиться дополнительный маршрутизатор с портами DHCP и WAN или коммутатор, поддерживающий NAT. Возможно, ручная настройка ПК C тоже подойдет. По сути, создание двух сетей.
Ваша основная сеть (по умолчанию из коробки)
- WAN IP: Pulbic IP от провайдера
- IP LAN: 192.168.0.254 (маршрутизаторы IP)
- DHCP: 192.168.0.254 (192.168.0.y - 192.168.0.z)
- Шлюз: 192.168.0.254
Ваша защищенная сеть (настроена)
- WAN IP - 192.168.0.x (со второго маршрутизатора DHCP)
- IP LAN - 192,168.1,254
- DHCP: 192,168.1.254 (192.168.1.y - 192.168.1.z)(для 2-й сети)
- Шлюз: 192.168.0.254 (только маршрут к Интернету)
Руководство
В вашем руководстве E4200 на стр. 9 есть раздел о расширенной маршрутизации. Это может быть решение или метод, который поможет вам создать отдельные сети. В идеале, новые маршрутизаторы предлагают виртуальные сети и тому подобные вещи, которые помогут вам лучше управлять этим.
альтернативы
Это заранее, но это один из предпочтительных для всех хороших сисадминов!
Вы можете заменить свой текущий маршрутизатор усовершенствованным совместимым с pfSense маршрутизатором или ПК. Он может (и должен) полностью заменить роутер у вашего провайдера. Вам нужно посмотреть список совместимости и выбрать маршрутизатор по своему вкусу. Требуется установить на него pfsense, который является FreeBSD. Информация говорит это для использования в качестве межсетевого экрана и маршрутизатора. Маршрутизатор - это то, что вас интересует. Но он делает намного больше!
Вы можете установить прокси, squid, throttling, dns и т. Д. PfSense позволяет создавать как можно больше сетей и настраивать их по своему усмотрению!
Использование брандмауэров на компьютерах само по себе не является решением проблемы. Я не могу дать вам ложное чувство безопасности, но брандмауэры предназначены для защиты входящих подключений к данному компьютеру. Блокировка стандартных портов вызовет неожиданные долговременные осложнения для вещей, которые были разработаны, чтобы облегчить жизнь!
- Редактирование добавлено после того, как ответ принят.
Некоторая внешняя ссылка, в которой 2 системных администратора Techsnap 101 согласны с тем, что брандмауэры не являются защитой компьютера друг от друга. Перемотка вперед до конца. Также, как изолировать машину от сети, используя VLAN, NIC или Routes для очень точного вопроса, который вы задали здесь
Первое, что пришло мне в голову - это брандмауэр.
Вы можете создать правила брандмауэра на компьютере C, которые не разрешают какие-либо TCP-подключения к 192.168.xx или из него (или независимо от того, какая локальная локальная сеть настроена для использования), но разрешают другие исходящие подключения. Вы должны были бы специально разрешить подключения к маршрутизатору. Конечно, вы должны иметь возможность заблокировать эту конфигурацию, чтобы никто не мог изменить правила брандмауэра.
В этом случае вы также можете изменить брандмауэры на машинах A и B, чтобы они также не инициировали и не получали пакеты от машины C.
Я не очень хорош в искусстве ASCII, но вы также можете выбрать другой маршрутизатор. Позвоните своему текущему маршрутизатору R1, и ваша сеть будет 192.168.1.x. Возьмите R2, сделайте его клиентом R1, а компьютер C - клиентом R2, сам по себе, с сетью 192.168.2.x. (Машины A и B по-прежнему на R1, 192.168.1.x). Поиграйте с брандмауэром на R2, разрешив 192.168.2.1, но отвергнув все остальное 192.168.xx Это должно стоить вам около 50 долларов США плюс время. Вы по сути создаете свою собственную DMZ. Машина C теперь имеет двойной NAT-интерфейс, который может быть хорошим или плохим, в зависимости от того, что он делает. Если это сервер, теперь вам нужно разрешить соединения из Интернета через R1 и R2. Межсетевые экраны на машинах A и B будут настроены на 192.168.2.x. Вы по-прежнему можете запускать брандмауэр на компьютере C, но тогда у вас все еще будет аппаратный брандмауэр на R2, если он скомпрометирован.
Кстати: замена стоковой прошивки на E4200 может быть хороша по другим причинам. Некоторые версии прошивки позволяли Cisco "управлять облаком". Кроме того, я не уверен, что вы можете отключить WPS (который был сломан) через стоковую прошивку. Если вы сделаете это, вы можете прокомментировать и сообщить мне, как это работает? У моего дяди есть E4200, который я собирался перепрошить в свое бесконечное свободное время.