Chciałbym stworzyć topologię sieci, w której wszystkie urządzenia IoT (drukarka, DVR, termostat, odtwarzacz BluRay itp.) Znajdują się w strefie DMZ, a reszta moich urządzeń jest w sieci LAN. Zauważ, że użycie DMZ tutaj różni się od ustawień DMZ na routerach i odnosi się do „strefy sieci, w której umieszczam urządzenia, którym nie ufam, aby nie próbować włamać się do mojej sieci”.
Zwykle odbywa się to poprzez tworzenie bram warstwowych (tj. Posiadanie bramy w strefie DMZ w celu ochrony sieci LAN) lub posiadanie niestandardowej bramy trójdrożnej ze specjalnymi regułami iptables. Zrobiłem już obie, ale oboje cierpią z powodu problemu, że są to rozwiązania warstwy 3 i szukam rozwiązania warstwy 2, przede wszystkim w celu zachowania działania mDNS i Service Discovery.
Myślę, że chcę pozwolić na:
LAN - [cokolwiek] -> DMZ
DMZ - [ustanowiony + transmisje + DHCP] -> LAN
Jednak patrząc na ebtables
dokumentację, nie wygląda na to, żebym mógł odróżnić ustanowione połączenia ip od nowych połączeń ip, co jest wymaganą cechą mojego planu.
Istnieją zatem dwie możliwości, które z tego wynikają:
1) Ustalenie, jak korzystać ebtables
z tego, co chcę; lub
2) Korzystając z metody podwójnego NAT i mając urządzenie (RasPi lub coś takiego) nasłuchuj transmisji Service Discovery w DMZ i przekaż je w sieci LAN.
Ostatnie pytanie: jakie podejście jest możliwe i / lub najłatwiejsze w zarządzaniu z perspektywy tego, jak długo będę majstrować przy rzeczach, aby to zadziałało?
Uwaga: tagowanie pod iptables
zamiast zamiast, ebtables
ponieważ najwyraźniej nie mogę utworzyć tego tagu ...
iptables
się do niego odnosi.