Vou começar dando a você um Alerta Noob. Desculpe, temos que aprender em algum lugar.
Eu só queria passar uma ideia para você.
Eu configurei um servidor doméstico, para hospedar alguns jogos para meus amigos. Para obter um IP dedicado, conectei meu servidor a um provedor de VPN de IP estático, tudo está se conectando perfeitamente e o servidor está funcionando na maior parte do tempo apenas quando quebro algo não relevante para este post.
Estou pensando em criar uma camada extra de proteção para minha rede, é possível criar uma rede dentro de uma rede, ouvi falar de algo chamado VLAN, mas não tenho hardware para fazer isso.
O que estou pensando é usar um roteador netgear antigo, conectá-lo à minha rede através da porta WAN e configurá-lo para que funcione em uma faixa de IP diferente.
Isso funcionaria e há mais alguma coisa que eu precise pensar?
Responder1
O conceito de rede dentro de uma rede dentro de uma rede não existe realmente. O que você tem são redes interligadas com restrições entre elas, e redes subdivididas em segmentos.
VLANS são um mecanismo para separar uma única rede física em múltiplas redes na mesma infra-estrutura de comutação - onde o tráfego entre as diferentes redes é na maior parte mantido separado ou forçado através de um switch.
Os roteadores de encadeamento em série, como você propõe, darão um maior grau de isolamento aos dispositivos por trás da rede mais interna, ao custo de possíveis problemas de "nat duplo" - ou seja, a tradução de endereços "não roteados" (apropriadamente conhecidos como endereços RFC1918) em um segundo não endereço roteado. Isto pode criar problemas com alguns protocolos complexos, pode ser difícil de depurar, mas geralmente funciona na prática. Você precisa ter certeza de que os intervalos de IP das portas LAN de cada roteador são diferentes, por exemplo, alterar o roteador interno para usar endereços IP é o intervalo 10.0.0 se o externo estiver usando o intervalo 192.168 mais comum.
Responder2
Responderei à questão básica sobre segurança, em vez da questão da rede, que não melhorará a segurança. A razão é que, se o seu servidor estiver visível na Internet, ele poderá ser atacado, não importa quantos roteadores ou redes essa conexão atravesse.
Você obterá proteção muito melhor executando seu servidor em uma máquina virtual. Dessa forma, um invasor bem-sucedido corromperá, no máximo, a VM convidada, mas não o computador host. Se você mantiver uma cópia da VM, ela poderá, em caso de infecção, ser excluída e substituída pela cópia íntegra.
A VM pode ser visível na rede local, indistinguível de uma máquina física, e você pode encaminhar para ela as portas do jogo da mesma forma que faz agora para o host.
Responder3
Você quer colocar seu servidor dentro de umDMZzona.
Em redes de computadores, uma DMZ (zona desmilitarizada), também conhecida como rede de perímetro ou sub-rede protegida, é uma sub-rede física ou lógica que separa uma rede local (LAN) interna de outras redes não confiáveis, geralmente a Internet. Servidores, recursos e serviços externos estão localizados na DMZ. Portanto, eles são acessíveis pela Internet, mas o restante da LAN interna permanece inacessível.
Como fazer isso:
Existem várias maneiras de projetar uma rede com DMZ. Os dois métodos básicos são usar um ou dois firewalls. Um único firewall com pelo menos três interfaces de rede pode ser usado para criar uma arquitetura de rede contendo uma DMZ. A rede externa é formada conectando a Internet pública - via conexão do provedor de serviços de Internet (ISP) - ao firewall na primeira interface de rede, a rede interna é formada a partir da segunda interface de rede e a própria rede DMZ é conectada ao terceira interface de rede.
Você utiliza regras de firewall para isolar a rede DMZ. A configuração exata pode variar, mas no seu caso, você só precisa bloquear todo o tráfego proveniente da interface DMZ (rede) para sua rede interna (interface de rede). Portanto, é necessário ter um dispositivo com recursos de firewall, embora se você tiver um switch gerenciado disponível, também poderá fazê-lo com ACLs.
O que estou pensando é usar um roteador netgear antigo, conectá-lo à minha rede através da porta WAN e configurá-lo para que funcione em uma faixa de IP diferente.
Essa sua ideia pode funcionar, mas apenas se você colocar sua rede interna atrás daquele roteador Netgear e, ao fazer isso, "ocultá-la" atrás do "Máscara de IP" ouNAT
O mascaramento de IP é uma técnica que oculta todo um espaço de endereços IP, geralmente consistindo de endereços IP privados, atrás de um único endereço IP em outro espaço de endereços, geralmente público. Os endereços ocultos são alterados para um único endereço IP (público) como endereço de origem dos pacotes IP de saída, de modo que pareçam originados não do host oculto, mas do próprio dispositivo de roteamento. Devido à popularidade desta técnica para conservar o espaço de endereço IPv4, o termo NAT tornou-se virtualmente sinônimo de mascaramento de IP.
A tradução de endereços de rede (NAT) é um processo no qual um ou mais endereços IP locais são traduzidos em um ou mais endereços IP globais e vice-versa, a fim de fornecer acesso à Internet aos hosts locais. Além disso, ele faz a tradução dos números das portas, ou seja, mascara o número da porta do host com outro número de porta, no pacote que será roteado para o destino. Em seguida, ele faz as entradas correspondentes de endereço IP e número de porta na tabela NAT. O NAT geralmente opera em roteador ou firewall.