У меня есть Raspberry Pi, на котором я работаю с DNS, IDS/IPS серверами. Вот как он подключен к сети и настроен:
Интернет -> Маршрутизатор -> Pi (eth0)
Pi дополнительно настроен как DNS-сервер на маршрутизаторе.
По сути, это нормально, если бы я использовал Pi просто как DNS-сервер, и, похоже, он также выполняет ограниченную функцию в качестве IDS/IPS в сети (поскольку весь исходящий трафик маршрутизируется через Pi).
Но я не думаю, что это лучшее сетевое позиционирование для Pi, особенно когда он не делает ничего, чтобы блокировать внутреннюю угрозу, когда взломанная машина атакует другую локальную машину.
Я хотел бы настроить его, как показано ниже, с помощью DHCP на самом маршрутизаторе:
Интернет -> Маршрутизатор -> Pi -> Все машины в сети
Что это за настройка в маршрутизаторе, чтобы направлять все пакеты только через Pi? Не желая выставлять Pi в интернет до самого маршрутизатора, я хотел бы узнать ваше мнение о том, как лучше всего настроить Pi в сети.
решение1
Предполагая, что ваш маршрутизатор использует DHCP, вы захотите объявить PI в качестве шлюза для вашей сети. Поскольку ваш PI уже использует другие критически важные для сети службы, вы также можете рассмотреть возможность обслуживания DHCP из PI и отключения его на маршрутизаторе. При условии, что ваш маршрутизатор выполняет NAT, ваш PI не будет виден из Интернета.