网络中的网络

网络中的网络

我将首先向您提供新手警报,很抱歉我们必须在某个地方学习。

我只是想向你提出一个想法。

我设置了一个家庭服务器,用于为朋友托管一些游戏。为了获得专用 IP,我将服务器连接到静态 IP VPN 提供商,一切连接都很顺畅,并且服务器大部分时间都在运行,只有当我破坏与本文无关的某些东西时才会运行。

我正在考虑为我的网络创建一个额外的保护层,是否可以在网络中创建一个网络,我听说过一种称为 VLAN 的东西,但我没有硬件来做到这一点。

我正在考虑使用旧的 netgear 路由器,通过 WAN 端口将其连接到我的网络,并将其设置为在不同的 IP 范围内运行。

这会有用吗?还有什么我需要考虑的吗?

答案1

网络中网络中的网络的概念实际上并不存在。您拥有的是相互连接且相互限制的网络,以及细分为多个段的网络。

VLAN 是一种将单个物理网络分成同一交换基础设施中的多个网络的机制 - 其中不同网络之间的流量大部分保持分开或强制通过交换机。

您所提议的菊花链式路由器将为最内层网络后面的设备提供更高程度的隔离,但代价是潜在的“双重 nat”问题 - 即将“非路由”(正确称为 RFC1918 地址)地址转换为第二个非路由地址。这可能会给一些复杂的协议带来问题,可能难以调试,但在实践中通常有效。您需要确保每个路由器的 LAN 端口的 IP 范围不同,例如,如果外部路由器使用更常见的 192.168 范围,则将内部路由器更改为使用 10.0.0 范围的 IP 地址。

答案2

我将回答有关安全性的基本问题,而不是不会提高安全性的网络问题。原因是,如果您的服务器在互联网上可见,那么它就容易受到攻击,无论此连接穿过多少路由器或网络。

在虚拟机中运行服务器将获得更好的保护。这样,成功的攻击者最多会破坏客户虚拟机,但不会破坏主机。如果您保留虚拟机的副本,则可以在感染的情况下将其删除并替换为健康副本。

VM 可以在本地网络上可见,与物理机器没有区别,并且您可以像现在对主机一样将游戏端口转发到它。

答案3

你想把你的服务器放在非军事区区。

在计算机网络中,DMZ(非军事区)有时也称为边界网络或屏蔽子网,是将内部局域网 (LAN) 与其他不受信任的网络(通常是互联网)分隔开的物理或逻辑子网。面向外部的服务器、资源和服务位于 DMZ 中。因此,它们可以从互联网访问,但内部 LAN 的其余部分仍然无法访问。

怎么做:

有多种方法可以设计带有 DMZ 的网络。两种基本方法是使用一个或两个防火墙。可以使用具有至少三个网络接口的单个​​防火墙来创建包含 DMZ 的网络架构。外部网络是通过将公共互联网(通过互联网服务提供商 (ISP) 连接)连接到第一个网络接口上的防火墙而形成的,内部网络是由第二个网络接口形成的,而 DMZ 网络本身则连接到第三个网络接口。

您使用防火墙规则来隔离 DMZ 网络。确切的配置可能有所不同,但就您而言,您只需要阻止从 DMZ 接口(网络)到内部网络(网络接口)的所有流量。因此,拥有具有防火墙功能的设备是必须的,尽管如果您身边有一台托管交换机,您也可以使用 ACL 来实现这一点。


我正在考虑使用旧的 netgear 路由器,通过 WAN 端口将其连接到我的网络,并将其设置为在不同的 IP 范围内运行。

这个想法可以奏效,但前提是你将你的内部网络放在 Netgear 路由器后面,这样就可以将其“隐藏”在“IP伪装“ 或者NAT

IP 伪装是一种将整个 IP 地址空间(通常由私有 IP 地址组成)隐藏在另一个(通常是公共地址空间)中的单个 IP 地址后面的技术。隐藏的地址被更改为单个(公共)IP 地址,作为传出 IP 数据包的源地址,因此它们看起来不是来自隐藏主机,而是来自路由设备本身。由于这种节省 IPv4 地址空间的技术非常流行,术语 NAT 几乎已成为 IP 伪装的同义词。

网络地址转换 (NAT) 是将一个或多个本地 IP 地址转换为一个或多个全局 IP 地址,反之亦然的过程,以便为本地主机提供 Internet 访问。此外,它还会转换端口号,即在将路由到目的地的数据包中用另一个端口号屏蔽主机的端口号。然后,它会在 NAT 表中生成相应的 IP 地址和端口号条目。NAT 通常在路由器或防火墙上运行。

相关内容