Red dentro de una red

Red dentro de una red

Comenzaré dándole una alerta de novato. Lo siento, tenemos que aprender en alguna parte.

Sólo quería transmitirte una idea.

He configurado un servidor doméstico, este es para albergar un par de juegos para mis amigos. Para obtener una IP dedicada, conecté mi servidor a un proveedor de VPN de IP estática, todo se conecta muy bien y el servidor funciona la mayor parte del tiempo solo cuando rompo algo que no es relevante para esta publicación.

Estoy pensando en crear una capa adicional de protección para mi red. ¿Es posible crear una red dentro de una red? He oído hablar de algo llamado VLAN pero no tengo el hardware para hacerlo.

Lo que estoy pensando es usar un enrutador Netgear antiguo, conectarlo a mi red a través del puerto WAN y configurarlo para que funcione en un rango de IP diferente.

¿Funcionaría esto? ¿Hay algo más sobre lo que debería pensar?

Respuesta1

El concepto de red dentro de una red dentro de una red realmente no existe. Lo que sí tienes son redes interconectadas con restricciones entre ellas y redes subdivididas en segmentos.

Las VLAN son un mecanismo para separar una única red física en múltiples redes en la misma infraestructura de conmutación, donde el tráfico entre las diferentes redes se mantiene en su mayor parte separado o forzado a través de un conmutador.

La conexión en cadena de enrutadores como usted propone brindará un mayor grado de aislamiento a los dispositivos detrás de la red más interna, a costa de posibles problemas de "doble nat", es decir, traducir direcciones "no enrutadas" (conocidas propiamente como direcciones RFC1918) a una segunda dirección no enrutada. dirección enrutada. Esto puede crear problemas con algunos protocolos complejos, puede ser difícil de depurar pero a menudo funciona en la práctica. Debe asegurarse de que los rangos de IP de los puertos LAN de cada enrutador sean diferentes; por ejemplo, cambie el enrutador interno para usar direcciones IP en el rango 10.0.0 si el externo usa el rango más común 192.168.

Respuesta2

Responderé a la pregunta básica sobre seguridad en lugar de la pregunta sobre la red, que no mejorará la seguridad. La razón es que si su servidor es visible en Internet, entonces es atacable, sin importar cuántos enrutadores o redes atraviese esta conexión.

Obtendrá una protección mucho mejor si ejecuta su servidor en una máquina virtual. De esta manera, un atacante exitoso dañará como mucho la máquina virtual invitada, pero no la computadora host. Si conserva una copia de la máquina virtual, en caso de infección, puede eliminarla y reemplazarla por la copia sana.

La VM puede ser visible en la red local, indistinguible de una máquina física, y puedes reenviarle los puertos del juego de la misma manera que lo haces ahora con el host.

Respuesta3

Quieres poner tu servidor dentro de unDMZzona.

En las redes informáticas, una DMZ (zona desmilitarizada), también conocida a veces como red perimetral o subred protegida, es una subred física o lógica que separa una red de área local (LAN) interna de otras redes que no son de confianza, generalmente Internet. Los servidores, recursos y servicios externos se encuentran en la DMZ. Por lo tanto, se puede acceder a ellos desde Internet, pero el resto de la LAN interna permanece inaccesible.

Cómo hacerlo:

Hay varias formas de diseñar una red con DMZ. Los dos métodos básicos consisten en utilizar uno o dos cortafuegos. Se puede utilizar un único firewall con al menos tres interfaces de red para crear una arquitectura de red que contenga una DMZ. La red externa se forma conectando la Internet pública, a través de una conexión del proveedor de servicios de Internet (ISP), al firewall en la primera interfaz de red, la red interna se forma a partir de la segunda interfaz de red y la red DMZ en sí está conectada a la tercera interfaz de red.

Utiliza reglas de firewall para aislar la red DMZ. La configuración exacta puede variar, pero en su caso, solo necesita bloquear todo el tráfico proveniente de la interfaz DMZ (red) hacia su red interna (interfaz de red). Por lo tanto, es imprescindible tener un dispositivo con capacidades de firewall, aunque si tiene un conmutador administrado, también puede hacerlo con ACL.


Lo que estoy pensando es usar un enrutador Netgear antiguo, conectarlo a mi red a través del puerto WAN y configurarlo para que funcione en un rango de IP diferente.

Esta idea suya podría funcionar, pero sólo si coloca su red interna detrás de ese enrutador Netgear y al hacerlo la "oculta" detrás del "mascarada de propiedad intelectual" oNAT

El enmascaramiento de IP es una técnica que oculta un espacio completo de direcciones IP, que generalmente consta de direcciones IP privadas, detrás de una única dirección IP en otro espacio de direcciones, generalmente público. Las direcciones ocultas se cambian a una única dirección IP (pública) como dirección de origen de los paquetes IP salientes, de modo que parezcan originarse no en el host oculto sino en el propio dispositivo de enrutamiento. Debido a la popularidad de esta técnica para conservar el espacio de direcciones IPv4, el término NAT se ha convertido prácticamente en sinónimo de enmascaramiento de IP.

La traducción de direcciones de red (NAT) es un proceso en el que una o más direcciones IP locales se traducen en una o más direcciones IP globales y viceversa para proporcionar acceso a Internet a los hosts locales. Además, realiza la traducción de los números de puerto, es decir, enmascara el número de puerto del host con otro número de puerto, en el paquete que se enrutará al destino. Luego realiza las entradas correspondientes de dirección IP y número de puerto en la tabla NAT. NAT generalmente opera en un enrutador o firewall.

información relacionada