我發現我目前的 ISP 無法提供高速網路。這種情況可能會隨著時間的推移而改變。 ISP 提供了一個非常基本的路由器,內建支援 ADSL 的內建數據機。
目前,我已盡我所能鎖定 ISP 數據機路由器,並透過乙太網路線連接了樹莓派。 Pi 上的客製化作業系統處理所有裝置連線、防火牆、VPN 和廣告攔截等。它是我設定中事實上的路由器。 ISP 數據機路由器仍然啟用其所有防火牆和安全功能,但實際上它只是充當我的網路的數據機。
雖然這個解決方案工作正常,但我想用消費級路由器替換 rapsberry pi 路由器,該路由器具有改進的硬體和軟體功能,我可以完全控制這些功能,包括在其上運行的韌體 (DD-WRT)。有許多內建調變解調器支援現代連線方法(光纖)的選項,但幾乎沒有一個選項支援我目前的連線選項(ADSL)。
由於我的情況將來可能會發生變化,因此我更願意購買現代數據機/路由器(可能支援光纖),以便到時候我可以將其用作唯一的路由器。然而,在那之前我會把它「放到」樹莓派上——也就是透過乙太網路線連接到我目前的 ISP 路由器旁邊。
我相信這應該不會造成什麼問題,考慮到樹莓派目前已經完成了這一切,但我只是想澄清一下,因為我只有使用調製解調器路由器使用調製解調器進行連接的經驗。
我應該注意的是,Pi 的作用並不像橋接模式下的路由器,而只是作為另一個路由器。
如果我購買消費級調變解調器/路由器,但不是使用內建調變解調器,而是透過乙太網路線將路由器連接到目前的 ISP 調變解調器/路由器,所有(或大多數)硬體和軟體功能是否仍然有效?即,我可以設定路由器以將乙太網路連接埠上的網路更像是不安全的網路並啟用完整的防火牆規則等嗎? (這個有名字嗎?)
這有安全方面的缺點嗎?例如,如果 ISP 路由器遭到破壞,實體乙太網路連線是否會帶來某種更高的風險?我更願意保持乙太網路連接以減少訊號雜訊並消除另一個(局部)攻擊向量。
答案1
如果我購買消費級調變解調器/路由器,但不是使用內建調變解調器,而是透過乙太網路線將路由器連接到目前的 ISP 調變解調器/路由器,所有(或大多數)硬體和軟體功能是否仍然有效?即,我可以設定路由器以將乙太網路連接埠上的網路更像是不安全的網路並啟用完整的防火牆規則等嗎? (這個有名字嗎?)
對於大多數消費級路由器來說,這已經是預設配置:這就是標記為「WAN」的連接埠開箱即用的方式。路由器確實不行知道無論它是否連接到另一個本地路由器,因此它總是假設“WAN”連接埠確實直接連接到網際網路。
(有一些例外情況,路由器偵測到另一個類似的消費者路由器上游並切換到橋接模式或類似模式,但這是一個不太常見的功能,通常僅在相同的產品之間工作,例如兩個華為路由器之間的「Link+」。
(對於沒有預先定義連接埠的路由器,它只是稱為「配置防火牆」。如果您從空規則集開始,請新增一個轉送規則,允許封包轉發,例如從bridge1(「LAN」)到ether1( 「WAN 」),然後新增一個允許封包進行「活動」連線的規則和一個丟棄其他所有內容的規則,最後新增一個啟用家庭路由器通常執行的NAT 的偽裝規則。)
例如,如果 ISP 路由器遭到破壞,實體乙太網路連線是否會帶來某種更高的風險?
假設主路由器實際上有防火牆規則:不,不能。
(但是,「NAT 不是防火牆」非常適用的情況 - 如果內部路由器沒有防火牆,則直接連接到 NAT 閘道的裝置可以將封包傳送到該閘道「後面」的私人 IP 位址規則封鎖它。)