我有一个小networking,想要隔离整个networking中的一台电脑。
我的networking:
<----> Trusted PC 1 ADSL Router --> Netgear dg834g <----> Trusted PC 2 <----> Untrusted PC 我想在networking中隔离这个不可信的PC。
这意味着networking应该是安全的:* ARP中毒*嗅探*不可信PC不应该看到/到达networking内的任何其他计算机,但可以出去互联网。
我可以在计算机之间启用IPSec,但真正的问题是嗅探路由器和其中一台可信计算机之间的stream量。
反对得到一个新的IP地址(第二个IP地址从同一台计算机)我需要一个端口安全防火墙(我认为),或者我不认为我的ADSL路由器支持。
总之,我正在寻找一个硬件防火墙/路由器,可以从networking的其余部分隔离一个端口。 你可以推荐这样的硬件,或者我可以轻松地用我现在的networking来实现吗?
解决scheme1:在另一个路由器下隐藏不可信的PC。 这将解决arp-spoofing / mitm问题。
解决scheme2:使用任何具有DD-WRT固件的路由器。 在那里你可以设置不同的无线局域网,甚至把它们放在不同的VLAN中。 太不好的ADSL调制解调器不支持它。
具有多个物理接口(至less3个)或具有虚拟接口(VLAN)支持的防火墙将为您解决这个问题。 我认为Linksys销售的SBS VPN路由器可以做到这一点便宜。
我不能特别推荐一个设备,但是你所描述的情况被称为DMZ ,通常用来排除networking其他部分或其他networking(例如互联网)的服务器。
如果您真的关心这个问题,那么请为该计算机获取一个单独的DSL帐户。
否则,你可以拿起一个DD-WRT的Linksys路由器在$ eBay上$ 80左右,并设置一个VLAN。
我最喜欢的解决scheme… Astaro安全网关 – 免费用于非商业用途 – 下载软件并将其放置在具有多个额外NIC的旧PC上 – 使用路由器作为接入点。
-- NIC #2 - router - TRUSTED PCs DSL Modem -- NIC #1 - PC running ASG - -- NIC #3 - UNTRUSTED PC
此外,Netgear网站显示,您列出的设备具有“暴露主机(DMZ)”function。 不知道这是否意味着“暴露”的电脑与networking的其他部分是隔离的,尽pipe手册应该明确说明。
或者,像SaveTheRbtz所build议的那样,把UNTRUSTED PC放在第二台路由器的后面。 这将保护来自不受信任的PC的可信PC stream量 ,但不保护受信任的PC免受受损的不可信PC的攻击。
-- Router 2 -- Untrusted PC DSL Modem -- Router 1 - -- Trusted PCs
编辑:把不受信任的PC放在路由器后面。 这解决了原来的问题担心不可信的PC看到可信的PCstream量。
– 道歉SaveTheRbtz
寻找VLAN的支持,超过正常的消费者级别的东西应该有它。 我们在Draytek 3300和Cisco Catalyst 3548交换机上进行。
如果您想完全停止访问该计算机您可以使用mac筛选。
我必须同意亚当,你需要一个非军事区。 通过不打开从互联网到DMZ的任何端口,它不能从互联网访问,但应该仍然可以访问互联网。
我build议你忘了这样做与路由器和交换机,并安装适当的防火墙,我强烈build议Smoothwall 。
一个超级便宜的解决scheme是在调制解调器之后但在路由器之前有一个小型的$ 10.00工作组交换机。 然后使用路由器发送到您信任的电脑。 多数民众赞成如果你想在互联网上不可信的电脑。 您使用的路由器将需要被locking,即使是“可信”电脑也无法检测到。 是可以嗅探吗? 当然。 这很可能吗? 不是真的。 思科有一个真棒交换机与Vlan等… $ 100.00在易趣上,他们也有POE端口,如果你有无线接入点或IP安全摄像头。
在ALIX板上的PfSense ,从Netgate大约200美元。 function强大(500MHz处理器,256MB RAM),静音,被动冷却,非常低的功耗(〜5瓦平均),3个网卡(因此您可以设置一个单独的VLAN),以及良好的社区支持。