我在这里想要实现的是能够让我的学生邻居使用我的 DSL 路由器的无线端访问互联网,但我不希望在我的任何基于内部网有线 XP/Ubuntu 的工作站或我的 NAS 中设置加密/隐私
我认为这应该很容易设置,但过去两周我一直找不到解决方案。我尝试/打算使用基于防火墙的解决方案,如 ipcop pfsense 和其他一些解决方案,但很快就变得太复杂了,不知何故,每当路由器获得 WAP TKIP 密钥(我将其与 SSID 名称一起提供给他)时,它都会自动允许用户访问我的有线网络和工作组。
当然,我将所有文件都下线了,并清除了共享文件夹,但我仍然希望能够在不断开文件服务器的情况下进行共享。我认为两个独立的网络或某种“网络分离器”禁止我的计算机和无线网络之间的通信应该可以完成这项工作。不幸的是,我不知道如何以便宜的方式或只花一点点钱来做到这一点。
是的,我了解 fonera 设备和基于 wrtg54g linux 的设备。我只有一个交换机、路由器、一些 pci 无线网卡和一台备用计算机。
答案1
这篇文章中的主要问题通过RFC 1925, “(7a)(推论)。好、快、便宜:任选两个(你不能同时拥有三个)。
尽管 Sybreon 已经很好地描述了网络问题,但大多数人家里的廉价设备往往无法灵活地实施他建议的解决方案。您可以做的是使用廉价的网络路由器和无线路由器,例如较旧的 802.11 G 甚至 802.11 B 路由器,以实现类似的效果。尝试以下配置:
Wifi Network| Private network
|{subnet 3} |
| |{local network ports: subnet 2}
[wifi router] [cheap router. Can also have Wifi]
{WAN port}| |{WAN Port}
| |
|{subnet 1}|
{dsl router's local network ports}
[dslrouter]
|{WAN port}
|
| ISP provided network address
+
internet
只要路由器设备是实际的路由器,执行 NAT,并配置了一些基本的防火墙,您和您的邻居彼此之间就都是安全的,就像你们免受互联网上随机人员的攻击一样。
简而言之,具有基本防火墙的 NAT 路由器正是您所要求的“禁止我的计算机和无线网络之间的流量的网络分离器”。
答案2
让我们先看一张图。我猜这就是你想要的。
neighbour---wifi---[dslrouter]---+---[switch]---local network
WPA |
+
internet
您的邻居之所以能够访问您的本地网络,是因为它通常与您的本地网络位于同一网段。大多数 wifi 路由器会将无线网络和本地网络桥接为一个单一网络,并在外部网络上使用互联网。
为了不让你的邻居进来,你有几种选择(按难度和隔离程度的递减顺序):
- 端口 4- 一些无线路由器允许您将最后一个路由器端口隔离到其自己的小物理段中。您可以将本地交换机连接到此端口并在其后面连接本地网络。它将与网络的其余部分(无线和有线)隔离。
- 桥- 有些无线路由器允许你分离无线和有线网络,或者解桥将它们分开,使它们不会自动存在于同一网段中。这可以有所帮助,但前提是您在路由器防火墙中阻止两个未桥接部分之间的流量。
- 虚拟局域网- 一些智能路由器/交换机允许您创建自己的 VLAN。有时,即使它们很笨,您仍可以通过在自己的所有机器上启用 VLAN 来实现这一点。因此,您可以有效地将自己的机器隔离在自己的 VLAN 中,这有点像拥有一个物理断开的 LAN。
- IP 段- 最后一种方法也是最简单的方法,就是将您的机器和邻居的机器放在不同的网络 IP 段上,例如您在 10.xxx 上,而您的邻居在 192.168.xx 上,然后在您的路由器上设置适当的防火墙规则以阻止两个 IP 段之间的流量。
无论您选择哪种方法,您仍应该让您的邻居通过加密无线网络连接,以确保他和您的安全。