因此,我经常摆弄家用服务器(主要是为了学习目的)。问题是,我在我的家庭网络上做所有这些事情,虽然我倾向于从不打开路由器上的端口并将所有内容保留在我的 LAN 中,但对于某些事情,我希望打开路由器端口。鉴于我不是专家,我正在寻找一种更安全的方式来做这些事情。
下面是一张我打算做的事情的图片。基本上就是转租网络,但我不知道这样做是否安全。我也愿意接受任何新想法:
我不是这个网络上唯一的用户,我的妻子和孩子也在使用它。我不想为服务打开端口,导致整个网络受到威胁。如果你们有其他解决方案,我很乐意听听,谢谢!
编辑:我的调制解调器是 ISP 提供的标准调制解调器。它有一个以太网连接和一个 DSL 连接,没有其他连接。我将安装的交换机是 netgear prosafe GS108T。此交换机是可管理的,并且支持 VLAN。
交换机具有:IEEE 802.1Q 静态 VLAN(64 组,静态)
我的调制解调器是 ARRIS CM820A。
答案1
这行不通。评论您原始问题的人是正确的;您不能将第 2 层交换机放在调制解调器前面。您的 ISP 几乎肯定不会允许多个路由器“直接”连接到调制解调器。他们不会给您 2 个 IP 地址,因此您必须在此处放置一个路由器(第 3 层设备),以便与两个网络共享 1 个 IP 地址。
调制解调器后面的路由器将运行两个网络:非军事区 (DMZ - 面向公众的网络) 和私有内部网络。路由器将处理两个网络的 NAT 伪装以获取互联网,并且您将仅将端口转发到 DMZ 上的服务。您可以为需要在 DMZ 和内部网络之间传输的任何流量设置非常具体的防火墙规则,例如针对特定机器的 SSH。
最好使用商用类型的路由器来实现这一点。Ubiquiti Edge 路由器 X是专业消费者的热门选择,价格约为 50 美元。如果您有闲置的计算机,pfSense 也是一个可行的选择。我不建议更换消费级路由器上的固件,因为这些路由器有硬件限制;LAN 端口永久位于同一个 LAN 上,并且硬件可能不支持 VLAN。这些路由器仅设计用于单个网络使用。因此,最好的情况是您的网络会因为 CPU 路由而变慢,最坏的情况是您的 VLAN 隔离将不起作用,因为硬件不强制执行它,您将没有安全性。ER-X 和 pfSense 都具有用于 2 LAN 配置的向导和许多在线资源,可根据您的特定需求自定义配置。看看您喜欢什么,如果有任何问题,请发布更多问题。
答案2
问题是:您想要达到什么样的安全性。您发布的架构上只有一张图片。您没有写出您从 ISP 获得的 IP 地址(公共/私有、fix/dhcp),ISP 为您提供的其他服务(代理、dns、smtp/pop/imap、MX)。您的 PC/服务器使用哪种操作系统。您想要运行自己的 dhcp、邮件、web、文件、dns 还是其他服务器?
你不能忘记,安全并不意味着“不开放端口”,因为许多灾难都来自客户端电脑的行为(打开虚假电子邮件、网页上的恶意软件等)。
好吧,我的情况非常相似:ISP(提供 dhcp 公共 IPv4 地址)<-> 调制解调器 <-> 基于智能 Linux 的路由器/交换机/代理/cachingDNS/ntp <-> 运行 Linux 的家用电脑,如果我的女儿想玩 MS-Windows 驱动的游戏,她会使用 KVM-Qemu 虚拟化电脑在快照模式下运行其虚拟硬盘。因此,即使她感染了病毒,通过重新启动虚拟机,系统就会恢复到全新状态。我偶尔可以启动任何合理的公共服务器,无论是在 Linux 门上,还是在任何为其提供端口转发或反向代理的家用机器上。15 多年来,我没有遇到过任何严重的问题(是的,硬盘故障),最初使用一个核心 AMD Athlon64 机器作为 Linux 门,大约两年前我迁移到 BananaPi 路由器(RasberyPi 的一个分支)。
安全性的另一个重要部分当然是定期备份。强烈建议将所有正在运行的系统磁盘保存为磁盘映像,并定期进行数据备份。
Linux,还有什么。
答案3
因此,在做了大量研究和学习之后,我明白了你们的意思。所以我买了一台二手戴尔 Optiplex 3020 SFF 和英特尔 PRO 1000 PT 四端口 1Gb PCI 以太网网络适配器 NIC。我将把戴尔设置为 pfSense 防火墙,并使用它来管理我的网络和设置我的 VLAN。