Я оказался в ситуации, когда мой текущий провайдер не может предоставить высокоскоростной интернет. Эта ситуация, вероятно, изменится со временем. Провайдер предоставил очень простой маршрутизатор со встроенным модемом, поддерживающим ADSL.
В настоящее время я заблокировал маршрутизатор модема ISP, насколько это возможно, и подключил Raspberry PI через кабель Ethernet. Пользовательская ОС на Pi управляет всеми подключениями устройств, брандмауэром, VPN и блокировкой рекламы, среди прочего. Это фактически маршрутизатор в моей настройке. На маршрутизаторе модема ISP по-прежнему включены все функции брандмауэра и безопасности, но на самом деле он просто действует как модем моей сети.
Хотя это решение работает нормально, я хочу заменить маршрутизатор rapsberry pi на маршрутизатор потребительского уровня с улучшенными аппаратными и программными функциями, которые я полностью контролирую, включая прошивку, работающую на нем (DD-WRT). Существует множество вариантов со встроенной поддержкой модема для современных методов подключения (оптоволокно), но почти ни один из них не поддерживает мой текущий вариант подключения (ADSL).
Поскольку моя ситуация, скорее всего, изменится в будущем, я бы предпочел купить современный модем/маршрутизатор (вероятно, поддерживающий оптоволокно), чтобы, когда придет время, я мог использовать его как единственный маршрутизатор. Однако, до тех пор я бы «поместил его вместо» raspberry pi - т. е. рядом с моим текущим маршрутизатором ISP, подключенным через кабель Ethernet.
Я думаю, что это не должно вызвать никаких проблем, учитывая, что на данный момент Raspberry Pi делает все это, но я просто хотел получить разъяснения, поскольку у меня был опыт использования только модемных маршрутизаторов с использованием их модемов для подключения.
Следует отметить, что в режиме моста Pi действует не как маршрутизатор, а просто как еще один маршрутизатор.
Если я куплю модем/маршрутизатор потребительского класса, но вместо того, чтобы использовать встроенный модем, я подключу маршрутизатор к модему/маршрутизатору моего текущего интернет-провайдера через кабель Ethernet, будут ли работать все (или большинство) аппаратные и программные функции? Т.е. могу ли я настроить маршрутизатор так, чтобы он рассматривал сеть на порту Ethernet как незащищенную сеть и включал полные правила брандмауэра и т.д.? (и есть ли для этого название?)
Есть ли какие-либо недостатки безопасности в этом? Например, если маршрутизатор ISP скомпрометирован, может ли физическое соединение Ethernet представлять какой-то повышенный риск? Я бы предпочел сохранить соединение Ethernet, чтобы уменьшить шум сигнала и исключить другой (локальный) вектор атаки.
решение1
Если я куплю модем/маршрутизатор потребительского класса, но вместо того, чтобы использовать встроенный модем, я подключу маршрутизатор к модему/маршрутизатору моего текущего интернет-провайдера через кабель Ethernet, будут ли работать все (или большинство) аппаратные и программные функции? Т.е. могу ли я настроить маршрутизатор так, чтобы он рассматривал сеть на порту Ethernet как незащищенную сеть и включал полные правила брандмауэра и т.д.? (и есть ли для этого название?)
Для большинства маршрутизаторов потребительского класса это уже конфигурация по умолчанию: так порт с маркировкой "WAN" работает из коробки. Маршрутизатор на самом деле незнатьнезависимо от того, подключен ли он к другому локальному маршрутизатору или нет, он всегда предполагает, что порт «WAN» действительно подключен напрямую к Интернету.
(Существуют некоторые исключения, когда маршрутизатор обнаруживает другой аналогичный потребительский маршрутизатор выше по потоку и переключается в режим моста или аналогичный, но это довольно необычная функция, и обычно она работает только между идентичными продуктами, например «Link+» между двумя маршрутизаторами Huawei.)
(Для маршрутизаторов, не имеющих предопределенных портов, это называется просто «настройка брандмауэра». Если вы начали с пустого набора правил, вы добавляете правило пересылки, которое позволяет пересылать пакеты, например, с bridge1 («LAN») на ether1 («WAN»), затем добавляете правило, которое разрешает пакеты для «активных» подключений, и правило, которое отбрасывает все остальное, и, наконец, правило маскировки, которое включает обычный NAT, который используют домашние маршрутизаторы.)
Например, если маршрутизатор интернет-провайдера скомпрометирован, может ли физическое Ethernet-соединение представлять повышенный риск?
Предположим, что основной маршрутизатор на самом делеимеетправила брандмауэра: нет, не может.
(Однако это одна из ситуаций, когда «NAT не является брандмауэром» вполне применима — устройство с прямым подключением к шлюзу NAT может отправлять пакеты на частные IP-адреса «за» этим шлюзом, если на внутреннем маршрутизаторе не установлены запрещающие это правила брандмауэра.)