私は DNS、IDS/IPS サーバーを運用する Raspberry Pi を持っています。ネットワークへの接続と構成は次のとおりです。
インターネット -> ルーター -> Pi (eth0)
Pi はさらにルーター上の DNS サーバーとして構成されます。
さて、基本的に、Pi を DNS サーバーとしてのみ使用している場合はこれで問題ありません。また、ネットワーク上の IDS/IPS としての役割でも限られた目的しか果たしていないようです (すべての送信トラフィックが Pi を介してルーティングされるため)。
しかし、特に内部の脅威(侵害されたマシンが別のローカル マシンを攻撃するなど)をブロックする機能がない場合は、これが Pi にとって最適なネットワーク配置であるとは思えません。
ルーター自体のDHCPで以下のように設定したいと思います。
インターネット -> ルーター -> Pi -> ネットワーク上のすべてのマシン
すべてのパケットを Pi のみを経由してルーティングするには、ルーターでどのような設定にすればよいでしょうか? ルーター自体よりも先に Pi をインターネットに公開したくないので、ネットワーク内で Pi を最適に設定する方法についてご意見をお聞かせください。
答え1
ルーターが DHCP を実行していると仮定すると、PI をネットワークのゲートウェイとしてアナウンスする必要があります。PI は既にネットワークに不可欠な他のサービスを実行しているため、PI から DHCP を提供し、ルーターで DHCP を無効にすることも検討できます。ルーターが NAT を実行していると仮定すると、PI はインターネットから見えなくなります。