Сеть внутри сети

Сеть внутри сети

Начну с оповещения «Нуб-оповещение». Извините, нам нужно где-то учиться.

Я просто хотел вам предложить одну идею.

Я настроил домашний сервер, чтобы разместить пару игр для моих друзей. Чтобы получить выделенный IP, я подключил свой сервер к провайдеру VPN со статическим IP, все отлично подключается, и сервер работает большую часть времени, только когда я что-то ломаю, не относящееся к этому посту.

Я думаю о создании дополнительного уровня защиты для своей сети. Возможно ли создать сеть внутри сети? Я слышал о чем-то, что называется VLAN, но у меня нет оборудования для этого.

Я думаю использовать старый маршрутизатор Netgear, подключить его к своей сети через порт WAN и настроить его так, чтобы он работал в другом диапазоне IP-адресов.

Будет ли это работать и есть ли что-то еще, о чем мне следует подумать?

решение1

Понятие сети внутри сети внутри сети на самом деле не существует. То, что у вас есть, это взаимосвязанные сети с ограничениями между ними, и сети, подразделенные на сегменты.

VLAN — это механизм разделения одной физической сети на несколько сетей в одной и той же коммутационной инфраструктуре, где трафик между различными сетями по большей части разделен или пропускается через коммутатор.

Маршрутизаторы с последовательным подключением, как вы предлагаете, обеспечат более высокую степень изоляции устройств за пределами самой внутренней сети за счет потенциальных проблем "double nat" - т. е. трансляции "немаршрутизируемых" (правильно известных как адреса RFC1918) адресов во второй немаршрутизируемый адрес. Это может создать проблемы с некоторыми сложными протоколами, может быть трудно отлаживаемым, но часто работает на практике. Вам нужно убедиться, что диапазоны IP портов LAN каждого маршрутизатора различны, например, изменить внутренний маршрутизатор на использование IP-адресов диапазона 10.0.0, если внешний использует более распространенный диапазон 192.168.

решение2

Я отвечу на базовый вопрос о безопасности, а не на вопрос о сети, который не улучшит безопасность. Причина в том, что если ваш сервер виден в Интернете, то он подвержен атаке, независимо от того, сколько маршрутизаторов или сетей проходит это соединение.

Вы получите гораздо лучшую защиту, запустив свой сервер в виртуальной машине. Таким образом, успешный злоумышленник в лучшем случае повредит гостевую виртуальную машину, но не хост-компьютер. Если вы сохраните копию виртуальной машины, в случае заражения ее можно будет удалить и заменить здоровой копией.

Виртуальная машина может быть видна в локальной сети, неотличима от физической машины, и вы можете перенаправить на нее игровые порты точно так же, как вы сейчас делаете это с хостом.

решение3

Вы хотите разместить свой сервер внутриДМЗзона.

В компьютерных сетях DMZ (демилитаризованная зона), также иногда называемая периметральной сетью или экранированной подсетью, представляет собой физическую или логическую подсеть, которая отделяет внутреннюю локальную сеть (LAN) от других ненадежных сетей, обычно Интернета. Серверы, ресурсы и службы, обращенные наружу, находятся в DMZ. Таким образом, они доступны из Интернета, но остальная часть внутренней локальной сети остается недоступной.

Как это сделать:

Существуют различные способы проектирования сети с DMZ. Два основных метода — использовать один или два брандмауэра. Один брандмауэр с как минимум тремя сетевыми интерфейсами может использоваться для создания сетевой архитектуры, содержащей DMZ. Внешняя сеть формируется путем подключения публичного Интернета — через подключение к интернет-провайдеру (ISP) — к брандмауэру на первом сетевом интерфейсе, внутренняя сеть формируется из второго сетевого интерфейса, а сама сеть DMZ подключается к третьему сетевому интерфейсу.

Вы используете правила брандмауэра для изоляции сети DMZ. Точная конфигурация может меняться, но в вашем случае вам просто нужно заблокировать весь трафик, идущий от интерфейса DMZ (сети) к вашей внутренней сети (сетевому интерфейсу). Поэтому наличие устройства с возможностями брандмауэра является обязательным, хотя если у вас есть управляемый коммутатор, вы можете сделать это и с помощью ACL.


Я думаю использовать старый маршрутизатор Netgear, подключить его к своей сети через порт WAN и настроить его так, чтобы он работал в другом диапазоне IP-адресов.

Эта ваша идея могла бы сработать, но только если вы разместите свою внутреннюю сеть за маршрутизатором Netgear и таким образом «спрячете» ее за «IP-маскарад" илиНАТ

IP-маскировка — это метод, который скрывает все пространство IP-адресов, обычно состоящее из частных IP-адресов, за одним IP-адресом в другом, обычно публичном адресном пространстве. Скрытые адреса изменяются на один (публичный) IP-адрес в качестве исходного адреса исходящих IP-пакетов, поэтому они выглядят как исходящие не со скрытого хоста, а с самого устройства маршрутизации. Из-за популярности этого метода для экономии адресного пространства IPv4 термин NAT стал фактически синонимом IP-маскировки.

Трансляция сетевых адресов (NAT) — это процесс, в котором один или несколько локальных IP-адресов преобразуются в один или несколько глобальных IP-адресов и наоборот для предоставления доступа в Интернет локальным хостам. Также он выполняет трансляцию номеров портов, т. е. маскирует номер порта хоста другим номером порта в пакете, который будет направлен к месту назначения. Затем он вносит соответствующие записи IP-адреса и номера порта в таблицу NAT. NAT обычно работает на маршрутизаторе или брандмауэре.

Связанный контент