まず初心者アラートをお伝えします。申し訳ありませんが、どこかで学ばなければなりません。
ただあなたにアイデアを伝えたかっただけです。
私はホーム サーバーをセットアップしました。これは、友人のためにいくつかのゲームをホストするためです。専用 IP を取得するために、サーバーを静的 IP VPN プロバイダーに接続しました。接続はすべて良好で、サーバーは、この投稿とは関係のない何かが壊れたとき以外は、ほとんど常に稼働しています。
ネットワークに追加の保護層を作成することを考えています。ネットワーク内にネットワークを作成することは可能ですか。VLAN というものについて聞いたことがありますが、これを行うためのハードウェアを持っていません。
私が考えているのは、古いネットギア ルーターを使用して、WAN ポート経由でネットワークに接続し、別の IP 範囲で動作するように設定するということです。
これは機能しますか?また、他に考慮すべきことはありますか?
答え1
ネットワーク内にネットワークがあるという概念は実際には存在しません。存在するのは、ネットワーク間に制限を設けて相互接続したネットワークと、セグメントに細分化されたネットワークです。
VLAN は、単一の物理ネットワークを同じスイッチング インフラストラクチャ内の複数のネットワークに分離するメカニズムです。異なるネットワーク間のトラフィックは、ほとんどの場合、分離されているか、スイッチを経由するように強制されます。
提案されているようにルーターをデイジー チェーン接続すると、最も内側のネットワークの背後にあるデバイスに高度な分離がもたらされますが、潜在的な「二重 NAT」問題、つまり「非ルーティング」(RFC1918 アドレスとして正しく知られている) アドレスを 2 番目の非ルーティング アドレスに変換するという問題が伴います。これは、一部の複雑なプロトコルで問題を引き起こす可能性があり、デバッグが困難になることもありますが、実際には機能することがよくあります。各ルーターの LAN ポートの IP 範囲が異なることを確認する必要があります。たとえば、外側のルーターがより一般的な 192.168 範囲を使用している場合は、内側のルーターを 10.0.0 範囲の IP アドレスを使用するように変更します。
答え2
セキュリティの向上にはつながらないネットワークに関する質問ではなく、セキュリティに関する基本的な質問に答えます。その理由は、サーバーがインターネット上で見える場合、この接続がいくつのルーターやネットワークを通過しても、サーバーは攻撃される可能性があるからです。
サーバーを仮想マシンで実行することで、より優れた保護が得られます。この方法では、攻撃者が成功してもせいぜいゲスト VM が破壊されるだけで、ホスト コンピューターが破壊されることはありません。VM のコピーを保持しておけば、感染した場合にはそれを削除して正常なコピーに置き換えることができます。
VM はローカル ネットワーク上で物理マシンと区別がつかず表示され、ホストと同じようにゲーム ポートを VM にポート転送できます。
答え3
サーバーを非武装地帯ゾーン。
コンピュータ ネットワークにおいて、DMZ (非武装地帯) は、境界ネットワークまたはスクリーン サブネットワークとも呼ばれ、内部のローカル エリア ネットワーク (LAN) を他の信頼できないネットワーク (通常はインターネット) から分離する物理または論理サブネットです。外部向けのサーバー、リソース、サービスは DMZ 内にあります。そのため、これらにはインターネットからアクセスできますが、内部 LAN の残りの部分にはアクセスできません。
どうやってするの:
DMZ を含むネットワークを設計する方法はさまざまです。基本的な 2 つの方法は、ファイアウォールを 1 つまたは 2 つ使用することです。少なくとも 3 つのネットワーク インターフェイスを備えた単一のファイアウォールを使用して、DMZ を含むネットワーク アーキテクチャを作成できます。外部ネットワークは、インターネット サービス プロバイダー (ISP) 接続を介してパブリック インターネットを最初のネットワーク インターフェイス上のファイアウォールに接続することによって形成され、内部ネットワークは 2 番目のネットワーク インターフェイスから形成され、DMZ ネットワーク自体は 3 番目のネットワーク インターフェイスに接続されます。
DMZ ネットワークを分離するには、ファイアウォール ルールを使用します。正確な構成はさまざまですが、この場合、DMZ インターフェイス (ネットワーク) から内部ネットワーク (ネットワーク インターフェイス) に向かうすべてのトラフィックをブロックする必要があります。したがって、ファイアウォール機能を備えたデバイスは必須ですが、管理対象スイッチがある場合は ACL を使用してこれを行うこともできます。
私が考えているのは、古いネットギア ルーターを使用して、WAN ポート経由でネットワークに接続し、別の IP 範囲で動作するように設定するということです。
このアイデアはうまくいくかもしれませんが、それは内部ネットワークをNetgearルーターの背後に置き、そうすることで「IPマスカレード" またはNAT
IP マスカレードとは、通常はプライベート IP アドレスで構成される IP アドレス空間全体を、通常はパブリック アドレス空間にある別の単一の IP アドレスの背後に隠す技術です。隠されたアドレスは、発信 IP パケットの送信元アドレスとして単一の (パブリック) IP アドレスに変更されるため、パケットは隠されたホストからではなく、ルーティング デバイス自体から発信されたように見えます。IPv4 アドレス空間を節約するこの技術が普及したため、NAT という用語は IP マスカレードと実質的に同義になりました。
ネットワーク アドレス変換 (NAT) は、ローカル ホストにインターネット アクセスを提供するために、1 つ以上のローカル IP アドレスを 1 つ以上のグローバル IP アドレスに変換したり、その逆を行ったりするプロセスです。また、ポート番号の変換も行います。つまり、宛先にルーティングされるパケット内で、ホストのポート番号を別のポート番号でマスクします。次に、NAT テーブルに IP アドレスとポート番号の対応するエントリを作成します。NAT は一般に、ルーターまたはファイアウォールで動作します。