我将家庭网络划分为两个独立的子网 LAN/IoT,以便 IoT 设备在受到攻击时无法攻击我的电脑和智能手机。
个人设备分配的 IP 范围为 10.1.1.1 - 10.1.1.254
物联网设备分配的 IP 范围为 10.2.2.1 - 10.2.2.254
一些移动应用程序(例如“大金在线控制器”)通过扫描物联网设备所在的子网来发现它们,寻找在特定端口上响应特定消息的 IP。在此示例中,端口 80 上的特定 HTTP GET。
现在很明显,如果我的个人设备与它要查找的 IoT 设备不在同一子网中,这种方法将不起作用。它只会扫描从 10.1.1.1 到 10.1.1.254 的设备,并且永远不会询问地址为(例如)10.2.2.50 的设备
实现“代理”的最智能方法是什么?当应用程序通过“LAN”子网在端口 80 上查询时,将数据包路由到“IoT”子网?
我的设置使用运行 pfSense 的 VMWare esxi 环境和充当托管交换机和接入点的 FreshTomato 家用路由器,因此我有很多选择。如果需要,我可以设置专用虚拟机,或者在 Tomato 路由器或 pfSense 中设置一些脚本。
这是个好主意吗?我还能怎样解决这个问题?
答案1
这听起来像是 pfSense 中已经拥有的常规 DNAT端口转发部分。唯一的区别是,在您的情况下,“接口”字段不应设置为“WAN”——它是 10.1.1.0/24 LAN 接口。
但是,如果应用程序需要端口 80 或 443(已被 pfSense Web UI 占用),您可能需要在该接口上添加第二个 IP 地址,并确保 DNAT 规则匹配仅有的该地址作为“目的地”。
你可以添加一个真正的辅助地址(又称“IP 别名”),或者你可以使用代理 ARP – 我思考两者都可以工作,并且 pfSense 有两个选项:虚拟 IP 地址。
请注意,这仅适用于建立单播连接的应用程序 - 它无助于转发多播或广播发现数据包。