如何为机器设置防火墙以防范本地(无线)网络,同时仍允许该机器路由互联网流量?

如何为机器设置防火墙以防范本地(无线)网络,同时仍允许该机器路由互联网流量?

我有一个共享的 DSL 连接,我知道有些用户的计算机经常被感染,所以我担心网络安全。我的计算机是唯一通过以太网电缆(eth0 接口)连接到调制解调器(也是无线 AP)的计算机,其他所有用户都是无线连接的(wlan0 接口)。

我应该采取什么措施来隔离或保护我的计算机?我知道如果连接到无线网络,可以使用 Wireshark 和 ettercap 等软件拦截和读取正在发送的数据包,那么我该如何避免读取我发送的数据包?或者,如果这不可能,我还应该采取什么其他预防措施?

我不是在寻找这样的答案“你首先就不应该与他们分享你的网络”,因为在家里(和我的室友)和在工作中都是这种情况(所以我对此无能为力)。

一些可能相关的设置:

开/自动

NAT
LAN to LAN (intra LAN) multicast
WMM(Wi-Fi Multimedia)
WMM APSD
Client Isolation

离开

Wireless Multicast Forwarding
Support 802.11n Client Only
OBSS Co-Existance
WMM No Acknowledgement
WPS
IGMP Snooping
QoS (quality of service)
LAN side firewall

其他

Network Authentication - mixed wpa2/wpa - psk   
WPA/WAPI Encryption tkip+aes
DHCP slots match the number of clients

启用 LAN 端防火墙导致我失去了互联网连接,所以我不想再把事情搞糟了——我不是网络专家。

接口分组:

Group Name | WAN Interface | LAN Interfaces
Default    | ppp0          | eth3
           |               | eth2
           |               | eth1
           |               | eth0
           |               | wlan0

LAN 统计数据显示只有 eth0 和 wl0 正在传输/接收数据。

我的操作系统是Debian 6.0.7 (squeeze)

答案1

根据您所写的内容,您目前与您的朋友在同一个网络上 - 尽管看起来他们目前并没有试图进一步感染您(因为只有 eth0 和 wl0 正在传输/接收数据)。

如果我的理解正确的话,客户端隔离可能会有点帮助,但可能不会。

真正的解决方案是确保在 PC 上运行防火墙,或者如果您愿意,可以使用第二个路由器,将主路由器连接到路由器,然后将 PC 连接到路由器。由于存在“双重 nat”问题,这不是一个“好的解决方案”,但它将为您提供更好的保护措施和与网络的隔离。

答案2

我建议购买一个具有访客网络的路由器,与主 WiFi 网络不同。

这样就可以将无线网络分成两个独立的子网络,这样不受信任的计算机根本无法访问您的网络,而您仍然可以安全地将无线设备连接到您自己的网络。

下一个最佳选择是购买一台可以轻松支持 DD-WRT(无需任何机械工作)的路由器,这样就可以以这种方式分割网络。DD-WRT 还支持 QoS,如果其他用户过度使用互联网,则可以限制其带宽。

对于后一种情况,请参见与您的朋友和邻居安全地共享互联网

答案3

如果你已经连接了网络,并且想保持无线连接,我建议你从 eBay 上买一台便宜的电脑,里面有 2 个网卡,然后安装普富思就它而言。pfSense 非常易于管理,它是一款出色的防火墙,可以保证您的计算机安全。至于监听,这实际上取决于您的 wifi 路由器,如果路由器还算不错,它不应该通过无线网络发送有线流量,除非它专门尝试访问无线机器,因为路由表不会将数据包定向到那里。

答案4

许多路由器都有一个 DMZ 端口,您可以将 WIFI 路由器/AP 插入其中。这样可以按照您想要的方式划分您的网络。您还可以购买交换机和另一个路由器,将所有有线客户端插入新路由器,并将无线客户端保留在 AP 上。(使用不同的子网)

相关内容