我有一台 ISP 提供的调制解调器/路由器,我不得不使用它。我想为可能到我家来的随机客人提供一个 Wifi AP,但我不想让他们的带有病毒的 PC 进入我的网络,也不想让他们能够访问我的路由器(据我所知,路由器基本上没有受到保护)或网络上的其他计算机(我知道根本没有受到保护)上的任何内容。
我的第一个想法是将一个额外的 OpenBSD 路由器连接到我的 ISP 路由器,然后将“访客”wifi 封装到 VPN(可能是 IPsec)中,连接到数据中心的服务器。
这是一个合理的解决方案吗?(我不介意复杂性,只是从安全角度来看它是合理的)
答案1
安装一个真正的防火墙作为唯一接入 ISP 所提供设备。
A。普富思是免费软件,适用于此目的,只要硬件有几个以太网端口。您可以使用旧电脑,从pfSense 商店,使用像fitlet XA10带有4个英特尔以太网端口等。
一个接口用于 WAN,一个接口控制所有接口(LAN),一个接口用于您的 wifi。
b. 你可以使用 pfSense 防火墙内置的 wifi 来实现这一点,但我更喜欢优比快 Unifi解决方案 - 不过,请先阅读论坛。它们非常便宜,功能强大,但一定要阅读论坛。
i. 请注意,Ubiquiti 接入点允许 VLAN,pfSense 商店和 fitlet 设备也是如此,因此您可以让它提供四个彼此独立的 SSID(一个用于访客),以及管理界面。他们需要一个控制器来设置它,可以是现有计算机上的服务,也可以是 Raspberry Pi。
在防火墙上,对于来宾 wifi 接口或 VLAN,它有自己的子网,并创建防火墙规则以阻止它访问所有其他本地子网。还创建防火墙规则以阻止它直接访问您的路由器。
登录您发放的路由器,更改密码,并关闭其 wifi。