Tengo una Raspberry Pi en la que opero servidores DNS, IDS/IPS. La forma de conectarse en la red y configurarse es la siguiente:
Internet -> Enrutador -> Pi (eth0)
Pi se configura además como servidor DNS en el enrutador.
Ahora bien, fundamentalmente esto está bien si simplemente estuviera usando Pi como servidor DNS y también parece tener un propósito limitado en su función como IDS/IPS en la red (ya que todo el tráfico saliente se enruta a través de Pi).
Pero no creo que este sea el mejor posicionamiento de red para Pi, especialmente cuando no hace nada para bloquear una amenaza interna, una en la que una máquina comprometida ataca a otra máquina local.
Me gustaría configurarlo como se muestra a continuación con el DHCP en el enrutador mismo:
Internet -> Enrutador -> Pi -> Todas las máquinas en la red
¿Cuál sería esa configuración en el enrutador para enrutar todos los paquetes solo a través del Pi? Sin querer exponer el Pi a Internet antes que el enrutador, me gustaría conocer su opinión sobre cómo configurar mejor el Pi dentro de la red.
Respuesta1
Suponiendo que su enrutador ejecuta DHCP, querrá anunciar el PI como puerta de enlace para su red. Dado que su PI ya está ejecutando otros servicios críticos para la red, también podría considerar servir DHCP desde el PI y deshabilitarlo en el enrutador. Suponiendo que su enrutador realiza NAT, su PI no será visible desde Internet.