我发现我目前的 ISP 无法提供高速互联网。这种情况可能会随着时间的推移而改变。ISP 提供了一个非常基本的路由器,带有支持 ADSL 的内置调制解调器。
目前,我已尽可能锁定 ISP 调制解调器路由器,并通过以太网电缆连接了 Raspberry PI。Pi 上的自定义操作系统处理所有设备连接、防火墙、VPN 和广告拦截等。它是我设置中的事实上的路由器。ISP 调制解调器路由器仍然启用了所有防火墙和安全功能,但实际上它只是充当我的网络的调制解调器。
虽然此解决方案可行,但我想用消费级路由器替换 rapsberry pi 路由器,该路由器具有改进的硬件和软件功能,我可以完全控制,包括在其上运行的固件 (DD-WRT)。内置调制解调器支持现代连接方法 (光纤) 的选项很多,但几乎没有支持我当前的连接选项 (ADSL)。
由于我的情况将来可能会发生变化,我更愿意购买一台现代调制解调器/路由器(可能支持光纤),这样到时候我就可以将其用作唯一的路由器。然而,在那之前,我会“把它放在”树莓派的位置——即与通过以太网电缆连接的当前 ISP 路由器放在一起。
我相信这应该不会引发什么问题,因为树莓派目前可以完成所有这些功能,但我只是想澄清一下,因为我只有使用调制解调器路由器使用其调制解调器进行连接的经验。
我应该注意到,Pi 在桥接模式下并不像路由器那样运行,而只是另一个路由器。
如果我购买了消费级调制解调器/路由器,但没有使用内置调制解调器,而是通过以太网电缆将路由器连接到我当前的 ISP 调制解调器/路由器,那么所有(或大多数)硬件和软件功能是否仍能正常工作?例如,我是否可以设置路由器,将以太网端口上的网络视为不安全的网络,并启用完整的防火墙规则等?(这有名字吗?)
这是否存在安全隐患?例如,如果 ISP 路由器受到攻击,物理以太网连接是否会带来某种风险?我更愿意保留以太网连接以减少信号噪声并消除另一个(局部)攻击媒介。
答案1
如果我购买了消费级调制解调器/路由器,但没有使用内置调制解调器,而是通过以太网电缆将路由器连接到我当前的 ISP 调制解调器/路由器,那么所有(或大多数)硬件和软件功能是否仍能正常工作?例如,我是否可以设置路由器,将以太网端口上的网络视为不安全的网络,并启用完整的防火墙规则等?(这有名字吗?)
对于大多数消费级路由器来说,这已经是默认配置:这就是标有“WAN”的端口开箱即用的方式。路由器实际上并不知道无论它是否连接到另一个本地路由器,因此它始终假定“WAN”端口确实直接连接到互联网。
(也存在一些例外情况,即路由器检测到上游另一个类似的消费者路由器并切换到桥接模式或类似模式,但这是一个不常见的功能,通常仅在相同的产品之间有效,例如两台华为路由器之间的“Link+”。)
(对于没有预定义端口的路由器,它只是称为“配置防火墙”。如果从空规则集开始,则添加一个转发规则,允许数据包转发,例如从网桥 1(“LAN”)到以太网 1(“WAN”),然后添加一个允许“活动”连接的数据包和一个丢弃其他所有数据包的规则,最后添加一个伪装规则,启用家用路由器的通常 NAT。)
例如,如果 ISP 路由器受到威胁,物理以太网连接是否会带来某种程度的更高风险?
假设主路由器实际上有防火墙规则:不可以。
(但是,这是“NAT 不是防火墙”非常适用的一种情况——如果内部路由器没有防火墙规则阻止,则直接连接到 NAT 网关的设备可以将数据包发送到该网关“后面”的私有 IP 地址。)