Який найкращий спосіб обмежити доступ до мережі для однієї машини в домашній локальній мережі?


4

Наприклад, у домашній мережі 3 комп'ютери: Машина А Машина B Машина C

Що я хотів би зробити, це ізолювати "Машину C", так що він не може спілкуватися з "A" або "B", і навпаки. Вона повинна бути цілком окремою сутністю.

Припустимо, я використовую Linksys E4200. Чи є хороший спосіб налаштувати вищезгаданий сценарій за допомогою стандартного програмного забезпечення? Чи можливо з нестандартним прошивкою, таким як DD-WRT або Tomato? Я не маю досвіду з цим, але не маю проблемного навчання.

Я розумію, що це можна зробити, поставивши "Машину C" в DMZ. На жаль, мені сказали, що багато домашніх маршрутизаторів не мають безпечного способу налаштування DMZ за замовчуванням. Рішення двох маршрутизаторів може працювати, але все ще вимагає обмеження адміністративного доступу з "Машини C" і додає додаткову потенційну точку відмови.

EDIT:

Зі звуків речей, щоб мати належні правила брандмауера на місці мені потрібен додатковий маршрутизатор.


1
Який тип ОС працює на машині C?
Rich Homolka

1
Я не проти, якщо машина C скомпрометована, я приймаю цей ризик. Мета полягає в тому, щоб гарантувати, що Машина А і Машина B захищені від скомпрометованої машини С. Як і за іншою відповіддю, я думаю, що правила брандмауера можуть бути способом, і я буду досліджувати підмережі для мого маршрутизатора.
rakemanyohneth

1
@rakemanyohneth так, у вас є інший маршрутизатор, який є брандмауером, створюючи кишеню між двома брандмауерами, звані DMZ.
Rich Homolka

1
Так. Більш професійні мережні налаштування, як правило, мають окремий комп'ютер, який виконує роль маршрутизатора і брандмауера; він підключається до декількох мереж і регулює потоки трафіку між ними. DMZ може бути або другою локальною мережею, підключеною до брандмауера (всього 3 мережі: дві локальні мережі та глобальна мережа) або два брандмауери (один між WAN і DMZ, один між DMZ і LAN).
cpast

1
Якщо ви готові налаштувати інший комп'ютер, ви можете залишити там побудовану Ubuntu з двома мережевими адаптерами і використовувати ufw help.ubuntu.com/community/UFW . Він використовує iptables і дуже настроюється. en.wikipedia.org/wiki/Iptables
kmort

Відповіді:


2

Вам потрібно помістити машину C у свій діапазон мережі. Це найкращий спосіб ізолювати машину та захистити інші машини, які живуть за власним діапазоном IP. Єдина проблема в тому, що ви можете потрібен додатковий маршрутизатор з DHCP і WAN порт або комутатор, що підтримує NAT. Можливо, вручну налаштувати PC C також буде працювати. По суті, створення двох мереж.

enter image description here

Ваша основна мережа (за замовчуванням поза коробкою)

  • WAN IP: Public IP від ​​ISP
  • IP-мережа: 192.168.0.254 (IP-маршрутизатори)
  • DHCP: 192.168.0.254 (192.168.0.y - 192.168.0.z)
  • GATEWAY: 192.168.0.254

Ваша захищена мережа (налаштовано)

  • WAN IP - 192.168. 0 .x (з маршрутизатора DHCP Second)
  • IP LAN - 192.168. 1 .254
  • DHCP: 192.168. 1 .254 (192.168. 1 .y - 192.168. 1 .z) (для другої мережі)
  • GATEWAY: 192.168. 0 .254 (лише маршрут до Інтернету)

Керівництво

У вашому E4200 Інструкція на сторінці 9 є розділ про розширену маршрутизацію. Це може бути рішенням або методом, який допоможе вам створити окремі мережі. В ідеалі, нові маршрутизатори пропонують віртуальні мережі, і такі речі допоможуть вам краще керувати цим.

Альтернативи

Це заздалегідь, але це один з кращих для всіх хороших системних адміністраторів!

Можна замінити поточний маршрутизатор на розширений pfSense маршрутизатор або ПК. Він може (і повинен) повністю замінити маршрутизатор від вашого провайдера. Потрібно подивитися на список сумісності і вибрати маршрутизатор за своїм смаком. Вона вимагає, щоб ви встановили pfsense до нього, який є FreeBSD. Інформація говорить, що вона використовується як брандмауер і маршрутизатор. Маршрутизатор - це те, що вас цікавить. Але це робить набагато більше!

Ви можете встановлювати проксі, squid, дроселювання, dns і т.д.

enter image description here


Використання брандмауерів на комп'ютерах самостійно не є вирішенням проблеми. Я можу дати вам помилкове почуття безпеки, але брандмауери призначені для захисту вхідних з'єднань з даним комп'ютером. Блокування стандартних портів призведе до несподіваних довготривалих ускладнень для речей, які спрощували життя!


--Редагування додано після прийняття відповіді.

Деякі зовнішні посилання де 2 sysdamins на Techsnap 101 Погодьтеся, що брандмауери не є відповіддю на захист комп'ютера один від одного. Перемотування вперед до кінцевого біта. Крім того, як ізолювати машину від мережі за допомогою VLAN, NIC або маршрутів для дуже точного питання, яке ви задали тут


Це не спрацює, якщо ви не настроїли вручну правила маршрутизації на ПК. ПК повинен знати, як дістатися до шлюзу, і єдине, що він знає, як дістатися за замовчуванням, це машини в його підмережі.
cpast

1
Так, я сказав, що він може знадобитися інший комутатор або маршрутизатор. Ти просто зараз злісний. Це галузевий стандарт для ізолювання комп'ютерів у мережі. Спроба отримати деякі доморощені хакі-методи дуже погана порада.
ppumkin

Промисловим стандартом є використання одного або двох спеціальних брандмауерів. Це не просто змінити діапазон IP. З секундою маршрутизатор (перемикач не працюватиме), це буде працювати, але вам потрібно налаштувати брандмауер маршрутизатора, щоб він фактично утримував C від стандартної мережі. Якщо у вас немає брандмауера між C і A / B, вони не є ізольованими.
cpast

2
Схоже, щоб забезпечити безпечну ізоляцію, мені потрібен додатковий маршрутизатор між двома мережами.
rakemanyohneth

1
Привіт ppumkin, для наведеної вище діаграми, чи буде налаштована конфігурація, щоб дозволити трафік від другого маршрутизатора до першого, але не дозволити його, якщо пункт призначення був Machine A або Machine B? Редагувати - пропозиція ПФ від cpast і ppumpkin - це те, що варто подивитися, спасибі!
rakemanyohneth

2

Перше, що прийшло на мій погляд, це брандмауер.

Ви можете створити правила брандмауера на машині C, які не дозволяють підключення TCP або з 192.168.x.x (або будь-яку іншу локальну локальну мережу), але дозволяють інші вихідні з'єднання. Хоча потрібно спеціально дозволити підключення до маршрутизатора. Звичайно, ви повинні мати можливість заблокувати цю конфігурацію, щоб ніхто не міг змінити правила брандмауера.

У цьому випадку ви також можете змінити брандмауери на машинах A і B, щоб не ініціювати / отримувати будь-які пакети від машини C.

Я не добре в ASCII мистецтва, але ви також можете забрати інший маршрутизатор. Зателефонуйте вашому поточному маршрутизатору R1, а ваша мережа - 192.168.1.x. Підберіть R2, зробіть його клієнтом R1, а машину C клієнтом R2, сам по собі, з мережею 192.168.2.x. (Машини А і В все ще знаходяться на R1, 192.168.1.x). Грайте з брандмауером на R2, дозволяючи 192.168.2.1, але відкидаючи що-небудь ще 192.168.x.x. Це повинно коштувати вам близько $ 50 або близько того, плюс деякий час. Ви створюєте власний DMZ. Машина C зараз Double-NATted, яка може бути гарною або поганою, залежно від того, що вона робить. Якщо це сервер, тепер ви повинні дозволити з'єднання з Інтернету через R1 і R2. Брандмауери на машинах А і В будуть встановлені на 192.168.2.x. Ви все ще можете брандмауер C машини, але тоді у вас все ще є апаратний брандмауер на R2, якщо він стає скомпрометованим.

До речі: Заміна запасу прошивки на E4200 може бути корисною з інших причин. Деякі версії прошивки дозволили Cisco «керувати хмарою». Крім того, я не впевнений, якщо ви можете вимкнути WPS (який був зламаний) через запас прошивки. Якщо ви зробите це, ви можете прокоментувати і повідомити мені, як це працює? Мій дядько має E4200 Я збирався перепрошитися в мій нескінченний вільний час.


Це одна з моїх головних проблем, я повинен бути в змозі обмежити скомпрометовану машину C від зміни цього правила.
rakemanyohneth

Правила брандмауера були б найкращим способом боротися з цим.
MDT Guy

Я не впевнений, що мій E4200 дозволяє створювати різні підмережі, і я не в даний час вдома, тому я не можу перевірити, але ви думаєте, що Машина C в окремій підмережі і з правилами брандмауера буде робити трюк? Машина C буде настільним комп'ютером, тому нам не доведеться турбуватися про повторне налаштування правил, на щастя.
rakemanyohneth

Якщо машина C скомпрометована, чи не є всі правила брандмауера на машині C під загрозою? Я не бачу, як можна покладатися на функцію безпеки на скомпрометованому комп'ютері.
cpast

-1 Брандмауери використовуються для блокування несанкціонованого доступу. Не ізолюйте машини!
ppumkin
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.