安全地将不安全的设备添加到我的家庭网络

安全地将不安全的设备添加到我的家庭网络

我有一些联网设备,我不相信它们的安全性,但我还是想用它们(智能电视和一些现成的家庭自动化设备)。我不想让它们和我的电脑在同一个网络上。

我目前的解决方案是将电缆调制解调器插入交换机,并将两个无线路由器连接到交换机。我的电脑连接到第一个路由器,其他所有设备都连接到第二个路由器。

这足以将我的计算机与其他一切完全隔离吗?

另外,有没有更简单的解决方案,使用单个路由器就能有效地完成同样的任务?我有以下路由器,都带有DD-WRT

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

除安全网络上的单台计算机外,所有设备(安全和不安全)都以无线方式连接。

答案1

是的,您的解决方案也可以,但是会增加一个交换跳数,再加上配置开销,您可以通过执行以下操作使用一个路由器实现此目的:

  • 配置两个 VLAN,将受信任的主机连接到一个 VLAN,将不可信的主机连接到另一个 VLAN。
  • 配置 iptables 以不允许受信任到不受信任的流量(反之亦然)。

希望这可以帮助!

答案2

这是完全有可能的,但我想首先讲一下几件事。

我目前的解决方案是将电缆调制解调器插入交换机,并将两个无线路由器连接到交换机。我的电脑连接到第一个路由器,其他所有设备都连接到第二个路由器。

有趣的是,当您的有线调制解调器看起来只是调制解调器时,两个路由器都可以访问互联网。您的 ISP 是否执行 NAT?如果没有,我建议取出交换机(它真的是交换机还是交换机能够进行 NAT?),并将您的一个 DD-WRT 路由器作为网关。您当前的设置(不知道路由器连接到哪个端口)可能会发生 IP 地址冲突,或者偶尔会在其中一个网络上随机且不定期地失去连接。

是否可以将单个接入点上的 Wi-Fi 流量分成多个 VLAN?

是的,但需要进行一些配置工作和测试。我自己也使用类似的设置来隔离访客网络。下面我将介绍的方法不涉及 VLAN。


DD-WRT(以及其他产品)支持在同一个 AP 上创建多个 SSID。唯一需要做的就是创建另一个网桥,将其分配给不同的子网,然后将其与主网络的其余部分隔离开来。

距离我上次这样做已经有一段时间了,但它应该会像这样(准备好失去连接):

  1. 打开接入点的配置页面
  2. 转到无线=>基本设置
  3. 在虚拟接口下单击添加[^virtif]
  4. 为您的新 IoT SSID 命名并Network Configuration启用 BridgedAP Isolation
  5. 转到“无线安全”选项卡,设置密码,并将安全模式设置为不低于 WPA2-Personal-AES(如果可能)[^nDS]
  6. 转到标签“设置”=>“网络”
  7. 在“桥接”下,单击“添加”
  8. 给你的桥一个任意的名字[^brname],也许br1
  9. 为你的网桥指定一个 IP 地址不是与您的主网络位于同一子网[^ipaddr]
  10. (您可能需要单击“保存”,然后单击“应用设置”才能显示)在“分配给桥接器”下,单击“添加”,然后分配br1给接口 wl.01或指定的接口名称 [^virtif],保存并应用
  11. 在多个 DHCP 服务器下,单击添加并将其分配给br1

  12. 转到管理 => 命令并粘贴这些(您可能需要调整接口名称)[^note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    然后单击保存防火墙

  13. 我想你应该已经准备好了

有关详细信息,您可以查看 http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

需要注意的是,此设置仅对网关路由器/AP 有效。如果您希望相同的设置适用于其他路由器,则必须使用 VLAN。设置类似,但更复杂一些。这里的区别在于您必须配置并将新 VLAN 桥接到 IoT SSID,并可能执行一些路由规则。

[^virtif]:第一个通常是物理接口,通常标记为 wl0。您的虚拟接口(如果我没记错的话最多三个)将标记为 wl0.1、wl0.2 等等。

[^brname]:这将是 DD-WRT 赋予桥接接口的接口名称。

[^ipaddr]:假设您的主网络在 172.16.1.0/24,请给出br1172.16.2.0/24 的地址。

[^nDS]:如果您有 Nintendo DS,则必须使用 WEP。或者,您可以为 NDS 创建另一个 SSID,并将其桥接br1以方便使用。

[^note1]:此时应用设置后,连接到 IoT SSID 的任何设备现在都将被分配到不同的子网。但是,这两个子网仍然可以相互通信。

[^note2]: 这部分可能需要做一些工作。

答案3

这足以将我的计算机与其他一切完全隔离吗?

假设您从路由器 1 到交换机的连接使用WAN路由器的端口,并且您没有在 OpenWRT 中共享 WAN 和 LAN(这意味着您没有更改默认设置并且像直接连接到调制解调器时那样进行了布线),那么您基本上没问题。

当然,路由器 2 上的设备可以向任何人发送流量,这本身可能是一个问题(使用情况统计数据、摄像头图像、麦克风的声音、有关 WLAN 的信息、GPS 接收器等,具体取决于设备)。

另外,有没有更简单的解决方案,使用单个路由器可以有效地完成同样的任务?我有以下路由器,都带有 DD-WRT:

您可以单独配置端口,并将不良流量与良好流量分开路由。您的关键字将是DMZ,有很多可用的教程。

如果您想要更复杂的环境,您还可以启用 VLAN,这样您就可以在路由器后面放置额外的 VLAN 感知设备,并将两种类型的设备连接到它们,从本质上使您的整个家庭就像每个设备都直接插入两个路由器之一的端口一样,即使您只有一个路由器和 5 个交换机以菊花链形式连接在它后面……但只有在必须的情况下才这样做,因为出现错误的可能性很大,并且好处取决于您的布线(使用星型拓扑时几乎没有,使用环形拓扑时非常好)。

答案4

另外,有没有更简单的解决方案,使用单个路由器可以有效地完成同样的任务?我有以下路由器,都带有 DD-WRT:

大多数家用 WiFi 路由器都允许您配置“访客网络”。此无线局域网可以连接到互联网,但不允许连接到主有线或无线局域网上的设备。因此,您可以将 IoT 设备放在网络上,而它们将无法危害您的计算机。

相关内容