我有一台 Raspberry Pi,我在其上操作 DNS、IDS/IPS 服务器。它在网络中的连接和配置方式如下:
互联网 -> 路由器 -> Pi (eth0)
Pi 进一步配置为路由器上的 DNS 服务器。
现在,如果我仅将 Pi 用作 DNS 服务器,那么从根本上来说这是没问题的,而且它作为网络上的 IDS/IPS 的作用似乎也有限(因为所有出站流量都通过 Pi 路由)。
但我不认为这是 Pi 的最佳网络定位,尤其是当它无法阻止内部威胁(受感染的机器攻击另一台本地机器)时。
我想使用路由器本身的 DHCP 进行如下配置:
互联网 -> 路由器 -> Pi -> 网络上的所有机器
路由器中的设置是什么,才能仅通过 Pi 路由所有数据包?我不想让 Pi 在路由器本身之前暴露在互联网上,我想听听您对如何在网络中最佳配置 Pi 的看法。
答案1
假设您的路由器运行 DHCP,您可能希望将 PI 宣布为您的网络网关。由于您的 PI 已在运行其他网络关键服务,您还可以考虑从 PI 提供 DHCP 并在路由器上禁用它。假设您的路由器执行 NAT,您的 PI 将不会在互联网上可见。