Ich habe einen Raspberry Pi auf dem ich DNS, IDS/IPS Server betreibe. Die Anbindung ans Netzwerk und die Konfiguration erfolgen wie folgt:
Internet -> Router -> Pi (eth0)
Pi ist außerdem als DNS-Server auf dem Router konfiguriert.
Nun ist dies grundsätzlich in Ordnung, wenn ich Pi lediglich als DNS-Server verwenden würde, und es scheint auch in seiner Rolle als IDS/IPS im Netzwerk einen begrenzten Zweck zu erfüllen (da der gesamte ausgehende Datenverkehr über Pi geleitet wird).
Ich glaube jedoch nicht, dass dies die beste Netzwerkpositionierung für den Pi ist, insbesondere wenn dadurch keine interne Bedrohung blockiert wird – also eine Bedrohung, bei der ein kompromittierter Computer einen anderen lokalen Computer angreift.
Ich möchte es wie unten beschrieben mit DHCP auf dem Router selbst konfigurieren.
Internet -> Router -> Pi -> Alle Maschinen im Netzwerk
Wie müsste die Einstellung im Router lauten, damit alle Pakete nur über den Pi geleitet werden? Ohne den Pi vor dem Router selbst dem Internet aussetzen zu wollen, würde ich gern Ihre Meinung dazu hören, wie man den Pi am besten im Netzwerk konfiguriert.
Antwort1
Angenommen, Ihr Router verwendet DHCP, möchten Sie den PI als Gateway für Ihr Netzwerk bekannt geben. Da Ihr PI bereits andere netzwerkkritische Dienste ausführt, können Sie auch erwägen, DHCP vom PI aus bereitzustellen und es auf dem Router zu deaktivieren. Unter der Annahme, dass Ihr Router NAT ausführt, ist Ihr PI vom Internet aus nicht sichtbar.