Який найкращий спосіб обмежити доступ до мережі для однієї машини в домашній локальній мережі?

Наприклад, у домашній мережі 3 комп'ютери: Машина А Машина B Машина C

Що я хотів би зробити, це ізолювати "Машину C", так що він не може спілкуватися з "A" або "B", і навпаки. Вона повинна бути цілком окремою сутністю.

Припустимо, я використовую Linksys E4200. Чи є хороший спосіб налаштувати вищезгаданий сценарій за допомогою стандартного програмного забезпечення? Чи можливо з нестандартним прошивкою, таким як DD-WRT або Tomato? Я не маю досвіду з цим, але не маю проблемного навчання.

Я розумію, що це можна зробити, поставивши "Машину C" в DMZ. На жаль, мені сказали, що багато домашніх маршрутизаторів не мають безпечного способу налаштування DMZ за замовчуванням. Рішення двох маршрутизаторів може працювати, але все ще вимагає обмеження адміністративного доступу з "Машини C" і додає додаткову потенційну точку відмови.

EDIT:

Зі звуків речей, щоб мати належні правила брандмауера на місці мені потрібен додатковий маршрутизатор.

Вам потрібно помістити машину C у свій діапазон мережі. Це найкращий спосіб ізолювати машину та захистити інші машини, які живуть за власним діапазоном IP. Єдина проблема в тому, що ви можете потрібен додатковий маршрутизатор з DHCP і WAN порт або комутатор, що підтримує NAT. Можливо, вручну налаштувати PC C також буде працювати. По суті, створення двох мереж.

Ваша основна мережа ^{(за замовчуванням поза коробкою)}

• WAN IP: Public IP від ​​ISP
• IP-мережа: 192.168.0.254 (IP-маршрутизатори)
• DHCP: 192.168.0.254 (192.168.0.y - 192.168.0.z)
• GATEWAY: 192.168.0.254

Ваша захищена мережа ^{(налаштовано)}

• WAN IP - 192.168. 0 .x (з маршрутизатора DHCP Second)
• IP LAN - 192.168. 1 .254
• DHCP: 192.168. 1 .254 (192.168. 1 .y - 192.168. 1 .z) ^{(для другої мережі)}
• GATEWAY: 192.168. 0 .254 (лише маршрут до Інтернету)

Керівництво

У вашому E4200 Інструкція на сторінці 9 є розділ про розширену маршрутизацію. Це може бути рішенням або методом, який допоможе вам створити окремі мережі. В ідеалі, нові маршрутизатори пропонують віртуальні мережі, і такі речі допоможуть вам краще керувати цим.

Альтернативи

Це заздалегідь, але це один з кращих для всіх хороших системних адміністраторів!

Можна замінити поточний маршрутизатор на розширений pfSense маршрутизатор або ПК. Він може (і повинен) повністю замінити маршрутизатор від вашого провайдера. Потрібно подивитися на список сумісності і вибрати маршрутизатор за своїм смаком. Вона вимагає, щоб ви встановили pfsense до нього, який є FreeBSD. Інформація говорить, що вона використовується як брандмауер і маршрутизатор. Маршрутизатор - це те, що вас цікавить. Але це робить набагато більше!

Ви можете встановлювати проксі, squid, дроселювання, dns і т.д.

Використання брандмауерів на комп'ютерах самостійно не є вирішенням проблеми. Я можу дати вам помилкове почуття безпеки, але брандмауери призначені для захисту вхідних з'єднань з даним комп'ютером. Блокування стандартних портів призведе до несподіваних довготривалих ускладнень для речей, які спрощували життя!

--Редагування додано після прийняття відповіді.

Деякі зовнішні посилання де 2 sysdamins на Techsnap 101 Погодьтеся, що брандмауери не є відповіддю на захист комп'ютера один від одного. Перемотування вперед до кінцевого біта. Крім того, як ізолювати машину від мережі за допомогою VLAN, NIC або маршрутів для дуже точного питання, яке ви задали тут

Перше, що прийшло на мій погляд, це брандмауер.

Ви можете створити правила брандмауера на машині C, які не дозволяють підключення TCP або з 192.168.x.x (або будь-яку іншу локальну локальну мережу), але дозволяють інші вихідні з'єднання. Хоча потрібно спеціально дозволити підключення до маршрутизатора. Звичайно, ви повинні мати можливість заблокувати цю конфігурацію, щоб ніхто не міг змінити правила брандмауера.

У цьому випадку ви також можете змінити брандмауери на машинах A і B, щоб не ініціювати / отримувати будь-які пакети від машини C.

Я не добре в ASCII мистецтва, але ви також можете забрати інший маршрутизатор. Зателефонуйте вашому поточному маршрутизатору R1, а ваша мережа - 192.168.1.x. Підберіть R2, зробіть його клієнтом R1, а машину C клієнтом R2, сам по собі, з мережею 192.168.2.x. (Машини А і В все ще знаходяться на R1, 192.168.1.x). Грайте з брандмауером на R2, дозволяючи 192.168.2.1, але відкидаючи що-небудь ще 192.168.x.x. Це повинно коштувати вам близько $ 50 або близько того, плюс деякий час. Ви створюєте власний DMZ. Машина C зараз Double-NATted, яка може бути гарною або поганою, залежно від того, що вона робить. Якщо це сервер, тепер ви повинні дозволити з'єднання з Інтернету через R1 і R2. Брандмауери на машинах А і В будуть встановлені на 192.168.2.x. Ви все ще можете брандмауер C машини, але тоді у вас все ще є апаратний брандмауер на R2, якщо він стає скомпрометованим.

До речі: Заміна запасу прошивки на E4200 може бути корисною з інших причин. Деякі версії прошивки дозволили Cisco «керувати хмарою». Крім того, я не впевнений, якщо ви можете вимкнути WPS (який був зламаний) через запас прошивки. Якщо ви зробите це, ви можете прокоментувати і повідомити мені, як це працює? Мій дядько має E4200 Я збирався перепрошитися в мій нескінченний вільний час.