Перемикання маршрутизатора локальної мережі

Конкретна логістика внутрішніх маршрутизаторів, що стосується блокування портів на маршрутизаторах, що мають таку можливість.

Тобто. коли ви блокуєте будь-який порт на маршрутизаторі (не говорячи про правила програмного брандмауера вузла), маршрутизатор блокує порт тільки на WAN (?) або ж блокує трафік, що йде від будь-якого локального вузла до інших локальних вузлів (LAN).

Тобто. якщо порти не контролюються службою прослуховування блокування або програмою на локальному вузлі, то ви можете заблокувати порти на маршрутизаторі (вихід, в, або обидва), але все одно спілкуватися через ті ж самі порти, що знаходяться в локальній мережі?

Скажіть, що мій маршрутизатор має 192.168.1.1 на локальній стороні, а вузол за адресою 192.168.1.4 надсилає запит до будь-якого з портів TCP і UDP 135 ~ 138 або 445, і ці порти будуть заблоковані на маршрутизаторі. будь-який з локальних вузлів?

Я запитую це, оскільки я читав у минулому тут і в інших місцях, що "більшість" маршрутизаторів споживачів мають комутатор для портів LAN, який підключений до апаратного забезпечення маршрутизації між згаданим комутатором і портом WAN. Отже, по суті, маршрутизатор не контролює маршрутизацію пакетів, спрямованих на інший вузол Lan.

І якщо так, то, звичайно, зловити 22, це правило дотримання виробництва або це просто, що "більшість" маршрутизатор не блокувати комутатор LAN також з блокуванням порту?

router

— user985632
джерело

немає такої речі, як перемикання маршрутизатора, будь ласка, не вигадуйте термінологію

— barlop

мережева термінологія є досить жорсткою, оскільки без людей, які використовують неправильні терміни і вигадують вирази, які вони ніколи раніше не чули, і це не має сенсу.

— barlop

Відповіді:

Ваша термінологія є неправильною (що робить ваше питання нечутливим). Існує не таке поняття, як "програмний брандмауер" - цікаво, якщо ви маєте на увазі "програмне забезпечення, що працює на комп'ютері / пристрої без маршрутизатора. Існує також питання, що ви маєте на увазі під маршрутизатором. З контексту вашого питання, я Маю на увазі, що в першій частині ви маєте на увазі типовий домашній / малий офісний маршрутизатор - як правило, один з WAN портом і 4 портами LAN.

Ці маршрутизатори можуть розглядатися як ефективні, включаючи 2-портовий маршрутизатор з вбудованим комутатором для локальної мережі (або 2-портовий маршрутизатор, з локальною мережею, що підключається до зовнішнього комутатора), тому TCP і UDP-порти 135 ~ 138 або 445 не будуть блокується маршрутизатором.

Щоб відповісти на частину вашого питання про "правило приєднання або це просто те, що" більшість "маршрутизатора не блокує комутатор локальної мережі також з блокуванням порту? це залежить від того, як ви визначаєте маршрутизатор -

За чітким визначенням, маршрутизатор - це пристрій, який пересилає пакети між мережами, таким чином будь-який маршрутизатор буде вести себе так, як зазначено вище. Існують, однак, інші пристрої - наприклад, "комутатори рівня 4" і брандмауери, які можуть перехоплювати пакети між портами - навіть коли пакети перемикаються між портами, а не маршрутизуються - і можуть керувати трафіком між портами. Я б не назвав ці маршрутизатори пристроїв.

Крім того, багато маршрутизаторів (навіть чотирьох портів SOHO) можуть бути налаштовані таким чином - хоча і зі значними труднощами і хітом продуктивності.

Було б справедливо сказати, що більшість маршрутизаторів не виконують брандмауери в локальній мережі, оскільки більшість випадків використання не користуються цією функціональністю, і це значно збільшує витрати на це правильно. (Замість того, щоб використовувати ARM-процесор з низьким енергоспоживанням, їм, можливо, доведеться поглянути на процесор x86 для початку, тому апаратне забезпечення буде коштувати в 5-15 разів більше).

— davidgo
джерело

Я б оскаржував ваше твердження, що не існує "програмних брандмауерів"; Це схоже на розумний опис програмного забезпечення брандмауера, запущеного на кінцевій точці або в "вузлі" мережі. Я хотів би також зазначити, що заявник спеціально вказав "споживчий маршрутизатор" у своїй посаді. Я думаю, що ваша відповідь буде набагато краще, якщо ви видалили все, крім останнього речення першого абзацу.

— Slartibartfast

@Slartibartfast Давид має рацію, справді немає такого поняття, як термін, який він використовував. І це навіть не працює як хороший опис, або 'cos Будь-який пристрій у мережі може бути названий вузлом (вузли не просто' кінцеві точки '), тому кращий термін, ніж він використовував, буде "програмним брандмауером" і Вгадайте, що, це стандартний термін. Але термін, який він використовував, не є. і навіть його (поточна) назва має неправильну термінологію.

— barlop

Ви і я погоджуємося, що існує таке поняття, як "програмний брандмауер", який користувач описував і, мабуть, успішно спілкувався з використанням "неправильної термінології". Я не впевнений, чому ви і відповідь настільки прагнуть критикувати слово "вибір" того, хто хоче навчитися. Якщо є кращі варіанти, може бути корисним запропонувати ці варіанти і пояснити, як вони кращі, але мені не зрозуміло, як пропозиція "Ваша термінологія неправильна" корисна для когось.

— Slartibartfast

@Slartibartfast Я не використав фразу "Ваша [плакат] термінологія неправильна", хоча я погоджуюся, що це було, і Девід запропонував у своєму другому реченні, що немає такого поняття, як термін він використовував. тобто плакат винайшов його Так що це хороша допомога для плаката. Крім того, я просто відповідав на те, що ви написали. (І я не впевнений, що плакат успішно спілкувався, я, звичайно, не вивчав те, що він написав, бачачи все, що неправильно, щось - вигадана - термінологія і навіть у назві Девід зробив припущення, що він має на увазі, і задав йому питання, правильно звернувшись до матеріалу.

— barlop

@barlop Моя мета - поліпшити відповідь. Яка ваша мета в цій розмові? Я хочу бути зрозумілим, що я не думаю, що відповідач (davdgo) є неточним, але я думаю, що деякі речі, які вони відповіли, були менш корисними, ніж інші, для людей, які все ще намагаються дізнатися навіть словник, пов'язаний з комп'ютерними мережами. Мені подобається відповідь в цілому; Я пропоную пропозиції щодо вдосконалення. Ви захищаєте точність відповідей, яку я не атакую.

— Slartibartfast

TCP / IP має поняття a гніздо - IP-адреса плюс номер порту разом як один блок. Отже, 192.168.1.99:53 відрізняється від 8.8.8.8:53 і обидва можуть існувати одночасно без конфліктів.

"Блокування портів" може мати 2 значення:

Фільтр пакетів може обробляти трафік на інтерфейсі, видаляючи небажаний трафік, перш ніж дозволити програмам його бачити. Це може існувати на вашій локальній системі або маршрутизаторі і може існувати на одному, на багатьох або на всіх інтерфейсах, залежно від того, що фільтр пакетів і як він працює.
Якщо ваш маршрутизатор налаштований не пересилати трафік, який він отримує в інтерфейсі, що відповідає Інтернету (WAN), у будь-яку точку локальної мережі, деякі можуть використовувати фразу "заблокований порт" для посилання на цю ситуацію.

Тому:

Так, маршрутизатор може приймати трафік і обробляти його, не пересилаючи назад до локальної мережі. Якщо ви вмикаєте віддалене керування на маршрутизаторі, він має невеликий веб-сервер, який приймає запити на 80 або 443, обробляючи їх самостійно і відповідаючи, не посилаючи нічого на локальну локальну мережу.
Так, маршрутизатор може бути налаштований для пересилання вхідного трафіку на певний порт на пристрій з певним IP-адресою, але для цього пристрою він не відповідає, оскільки локальний пакетний фільтр блокує трафік.
Так, інтерфейси на маршрутизаторі можуть не реагувати на трафік з локальної мережі або глобальної мережі через фільтр пакетів, який виконує свою роботу вперше.

Багато домашніх маршрутизаторів базуються на Linux, а Linux має функцію iptables що робить фільтрацію пакетів. Ви можете змінити iptables безпосередньо, якщо маршрутизатор запущений ssh або telnet і є доступні бінарні файли, які багато хто робить. Інтерфейс керування більшості маршрутизаторів, ймовірно, змінюється iptables внутрішні правила відповідно до конкретних параметрів.

— LawrenceC
джерело