Porady wymagane do konfiguracji sieci, w tym serwer internetowy, drukarka powietrza i urządzenia zewnętrzne


0

Zastanawiam się, czy ktoś może mi powiedzieć, czy następująca konfiguracja sieci będzie działać zgodnie z wymaganiami i czy są jakieś czujniki / czerwone flagi do adresowania.

Na początek, wymagania: 1) główne urządzenie z uruchomionym serwerem internetowym powinno mieć dostęp do Internetu i drukarka powietrza podłączona do tej samej sieci Wi-Fi 2) inne urządzenia powinny móc łączyć się z serwerem sieciowym przy użyciu wewnętrznego adresu IP (tj. nie przez Internet) 3) inne urządzenia nie powinny mieć dostępu do drukarki powietrza lub Internetu.

Zidentyfikowałem niezły tani router TP-LINK, który obsługuje użycie klucza sprzętowego 4G USB do połączenia z Internetem, a jednocześnie najwyraźniej jest w stanie zablokować dostęp do stron, które nie znajdują się na białej liście. Doceniam blokowanie stron internetowych! = Blokowanie internetu, ale na razie przejdźmy dalej. Podczas gdy ten router może udostępniać sieć gości dla innych urządzeń, z którymi można się połączyć, nie wydaje się, aby był w stanie zapobiec tym połączeniom selektywnie zezwalając na dostęp do określonych adresów IP LAN (tj. Urządzenia z uruchomionym serwerem sieciowym), co oznacza, że ​​najprawdopodobniej będzie w stanie zobaczyć AirPrinter. Przetestowałem coś takiego na moim routerze Asus w domu i tak długo, jak włączony jest dostęp do sieci LAN, urządzenie gościa łączącego może zobaczyć moją drukarkę AirPrinter. Zły!

Moim rozwiązaniem jest dodanie drugiego routera TP-LINK działającego w trybie Access Point, łączącego go z pierwszym routerem, definiującego inny SSID, a następnie łączącego wszystkie inne urządzenia z drugim routerem. Próbowałem tego również w domu i podczas mojego testu drugi router otrzymał adres IP w tej samej podsieci co główny router i podczas gdy mogłem połączyć się z nim dobrze za pomocą mojego telefonu, nie widziałem AirPrinter, do którego był podłączony główny router. Jednak nadal byłem w stanie połączyć się z serwerem sieciowym działającym na głównym routerze. Świetny.

Naprawdę szukam walidacji tego podejścia, wszelkich sugestii, jak można go ulepszyć (np. Przyklejenie drugiego routera do podsieci, a następnie włączenie trasy z niego do określonego adresu IP serwera sieciowego na głównym routerze? ) i jeśli są jakieś bardziej skuteczne sposoby całkowitego zablokowania dostępu do Internetu z drugiego routera (zamiast tylko białej listy na głównym routerze).

Twoje zdrowie

Odpowiedzi:


0

Takie podejście jest prawdopodobnie mało bezpieczne, ale może powstrzymać przypadkowe próby dostępu do drukarki. Spodziewam się, że podczas gdy drukarka nie będzie mogła zostać zeskanowana (ponieważ nie znajduje się w tej samej podsieci, co urządzenia skanujące), można dodać drukarkę według adresu IP. Najprawdopodobniej możesz znaleźć adres IP, wykonując skanowanie portów. (Możesz mieć trochę lepsze szczęście, jeśli odwrócisz pierwszy i drugi router - IE ma drukarkę i serwer internetowy za NAT, używaj mapowania portów i dodawaj trasy do głównego routera - co spowoduje izolację drukarki i serwera internetowego, jednak będziesz miał trudności z ograniczeniem Internetu za pomocą tego rozwiązania)

Bardziej realne podejście

To nie jest trywialne (ale z drugiej strony, każde dobre rozwiązanie tego problemu będzie nietrywialne), ale jeśli otrzymasz router zdolny do uruchamiania dd-wrt i flash dd-wrt, powinieneś być w stanie zrobić wszystko, co jesteś chęć zrobienia - poniżej znajduje się kilka ogólnych wskazówek na temat trudnych kroków -

Chcesz utworzyć 2 SSIDS (sieci wirtualne) - jedną dla serwera i drukarki, a drugą dla innych urządzeń. Jest to dość proste - wystarczy dodać interfejsy wirtualne w menu Wireless- & gt; Basic Settings. Będziesz chciał, aby konfiguracja sieci była nieograniczona i aby podać drugi adres IP i maskę podsieci dla głównego identyfikatora SSID. Nie grałem z tym, ale wyobrażam sobie, że jeśli pozostawisz wyłączone urządzenia NAT, połączenie z drugim SSID nie będzie w stanie połączyć się z Internetem.

Po zastosowaniu tej opcji przejdź do Setup - & gt; Sieć i, w opcji DHCPD, dodaj zakresy adresów IP dla SSID.

Następnie będziesz chciał przypisać drukarce statyczny adres IP - możesz to zrobić na samej drukarce lub możesz skorzystać z leasingu statycznego w ramach usług - & gt; Leasing statyczny. Będziesz chciał zrobić coś podobnego dla serwera WWW.

Ostatnia część, która staje się nieco trudna - polega na napisaniu reguł zapory, aby ograniczyć dostęp do drukarki. Możesz to zrobić na kilka sposobów. Nie grałem tą metodą, ale najłatwiejszą metodą jest prawdopodobnie napisanie odpowiednich reguł w administracji - & gt; polecenia. Pomysł polega na napisaniu reguły, która zezwala tylko na dostęp do serwera i routera (dzięki czemu klienci mogą wykonywać wyszukiwania DNS) z drugiego SSID. Jest wiele sposobów na to, które będą się nieznacznie różnić w zależności od konfiguracji - ale patrzysz na dodawanie reguł takich jak:

/sbin/iptables -I FORWARD -s SSID2.IP.RANGE netmask SSID.IP.NETMASK -j DROP
/sbin/iptables -I FORWARD -s SSID2.IP.RANGE -d IP.ADDR.OF.SERVER -j ACCEPT

Wspaniale, dziękuję. Przyjrzę się temu dalej. Wspomniani ludzie z TP-Link wspomnieli o wykorzystaniu zarządzanego przełącznika z dwoma VLANS i używaniem list ACL, aby umożliwić / odmówić różnych wymagań dostępu. Byłby router zapewniający dostęp do Internetu i punkt dostępu do wifi, z którym łączą się wszystkie urządzenia. Nie mam absolutnie żadnego doświadczenia z Managed Switches i VLANS, i nie wiem, czy można je wykorzystać do moich celów.
Snouto

Domyślam się, że jeśli router TPLink obsługuje listy ACL, nie musisz się martwić o przełączniki zarządzane (ale nie są one tak trudne), ponieważ 4 vlany to więcej niż potrzebujesz - a wiele z nich zależy od sposobu połączenia urządzeń - W mojej odpowiedzi założyłem, że wszystko jest bezprzewodowe, ale powinieneś móc korzystać z sieci VLAN zamiast / w połączeniu z SSID - sieć VLAN jest sposobem grupowania i izolowania urządzeń, analogicznie do SSID.
davidgo
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.