我有一個來自 ISP 的數據機/路由器,我被迫使用它。我想為可能出現在我家的隨機訪客提供一個 Wifi AP,但我不想讓他們攜帶病毒的電腦出現在我的網路上,也不希望他們能夠存取我的路由器上的任何內容(這據我所知,基本上不受保護)或網路上的其他電腦(我知道根本不受保護)。
我的第一個想法是讓額外的 OpenBSD 路由器連接到我的 ISP 路由器,然後將「訪客」wifi 封裝到資料中心伺服器的 VPN(可能是 IPsec)中。
這是一個明智的解決方案嗎? (我不介意複雜性,只是它在安全方面有意義)
答案1
安裝真正的防火牆,作為插入 ISP 提供的任何設備的唯一設備。
A。pfSense是一款非常適合此目的的免費軟體,前提是硬體具有一些乙太網路連接埠。您可以使用舊電腦,從pfSense 商店,使用像XA10 配件具有 4 個 Intel 乙太網路連接埠等
一個用於 WAN 的接口,一個用於統治所有網路 (LAN) 的接口,一個用於 WiFi 的接口。
b.為此,您可以使用 pfSense 防火牆內建的 wifi,但我更喜歡優比快統一網絡解決方案 - 不過,請先閱讀論壇。他們非常便宜,而且非常有能力,但總是閱讀論壇。
我。請注意,Ubiquiti 存取點確實允許 VLAN,pfSense store 和 fitlet 裝置也是如此,因此您可以讓它提供四個彼此獨立的 SSID(一個用於訪客)以及管理介面。他們需要一個控制器來設定它,可以是現有電腦上的服務,也可以是 Raspberry Pi。
在防火牆上,對於訪客 wifi 介面或 VLAN,它會獲得自己的子網,並建立防火牆規則來阻止其存取所有其他本地子網路。也要建立防火牆規則,阻止它直接存取您的路由器。
登入您指派的路由器,變更密碼,然後關閉其 wifi。