Porady wymagane do konfiguracji sieci, w tym serwer internetowy, drukarka powietrza i urządzenia zewnętrzne

Zastanawiam się, czy ktoś może mi powiedzieć, czy następująca konfiguracja sieci będzie działać zgodnie z wymaganiami i czy są jakieś czujniki / czerwone flagi do adresowania.

Na początek, wymagania: 1) główne urządzenie z uruchomionym serwerem internetowym powinno mieć dostęp do Internetu i drukarka powietrza podłączona do tej samej sieci Wi-Fi 2) inne urządzenia powinny móc łączyć się z serwerem sieciowym przy użyciu wewnętrznego adresu IP (tj. nie przez Internet) 3) inne urządzenia nie powinny mieć dostępu do drukarki powietrza lub Internetu.

Zidentyfikowałem niezły tani router TP-LINK, który obsługuje użycie klucza sprzętowego 4G USB do połączenia z Internetem, a jednocześnie najwyraźniej jest w stanie zablokować dostęp do stron, które nie znajdują się na białej liście. Doceniam blokowanie stron internetowych! = Blokowanie internetu, ale na razie przejdźmy dalej. Podczas gdy ten router może udostępniać sieć gości dla innych urządzeń, z którymi można się połączyć, nie wydaje się, aby był w stanie zapobiec tym połączeniom selektywnie zezwalając na dostęp do określonych adresów IP LAN (tj. Urządzenia z uruchomionym serwerem sieciowym), co oznacza, że ​​najprawdopodobniej będzie w stanie zobaczyć AirPrinter. Przetestowałem coś takiego na moim routerze Asus w domu i tak długo, jak włączony jest dostęp do sieci LAN, urządzenie gościa łączącego może zobaczyć moją drukarkę AirPrinter. Zły!

Moim rozwiązaniem jest dodanie drugiego routera TP-LINK działającego w trybie Access Point, łączącego go z pierwszym routerem, definiującego inny SSID, a następnie łączącego wszystkie inne urządzenia z drugim routerem. Próbowałem tego również w domu i podczas mojego testu drugi router otrzymał adres IP w tej samej podsieci co główny router i podczas gdy mogłem połączyć się z nim dobrze za pomocą mojego telefonu, nie widziałem AirPrinter, do którego był podłączony główny router. Jednak nadal byłem w stanie połączyć się z serwerem sieciowym działającym na głównym routerze. Świetny.

Naprawdę szukam walidacji tego podejścia, wszelkich sugestii, jak można go ulepszyć (np. Przyklejenie drugiego routera do podsieci, a następnie włączenie trasy z niego do określonego adresu IP serwera sieciowego na głównym routerze? ) i jeśli są jakieś bardziej skuteczne sposoby całkowitego zablokowania dostępu do Internetu z drugiego routera (zamiast tylko białej listy na głównym routerze).

Twoje zdrowie

Takie podejście jest prawdopodobnie mało bezpieczne, ale może powstrzymać przypadkowe próby dostępu do drukarki. Spodziewam się, że podczas gdy drukarka nie będzie mogła zostać zeskanowana (ponieważ nie znajduje się w tej samej podsieci, co urządzenia skanujące), można dodać drukarkę według adresu IP. Najprawdopodobniej możesz znaleźć adres IP, wykonując skanowanie portów. (Możesz mieć trochę lepsze szczęście, jeśli odwrócisz pierwszy i drugi router - IE ma drukarkę i serwer internetowy za NAT, używaj mapowania portów i dodawaj trasy do głównego routera - co spowoduje izolację drukarki i serwera internetowego, jednak będziesz miał trudności z ograniczeniem Internetu za pomocą tego rozwiązania)

Bardziej realne podejście

To nie jest trywialne (ale z drugiej strony, każde dobre rozwiązanie tego problemu będzie nietrywialne), ale jeśli otrzymasz router zdolny do uruchamiania dd-wrt i flash dd-wrt, powinieneś być w stanie zrobić wszystko, co jesteś chęć zrobienia - poniżej znajduje się kilka ogólnych wskazówek na temat trudnych kroków -

Chcesz utworzyć 2 SSIDS (sieci wirtualne) - jedną dla serwera i drukarki, a drugą dla innych urządzeń. Jest to dość proste - wystarczy dodać interfejsy wirtualne w menu Wireless- & gt; Basic Settings. Będziesz chciał, aby konfiguracja sieci była nieograniczona i aby podać drugi adres IP i maskę podsieci dla głównego identyfikatora SSID. Nie grałem z tym, ale wyobrażam sobie, że jeśli pozostawisz wyłączone urządzenia NAT, połączenie z drugim SSID nie będzie w stanie połączyć się z Internetem.

Po zastosowaniu tej opcji przejdź do Setup - & gt; Sieć i, w opcji DHCPD, dodaj zakresy adresów IP dla SSID.

Następnie będziesz chciał przypisać drukarce statyczny adres IP - możesz to zrobić na samej drukarce lub możesz skorzystać z leasingu statycznego w ramach usług - & gt; Leasing statyczny. Będziesz chciał zrobić coś podobnego dla serwera WWW.

Ostatnia część, która staje się nieco trudna - polega na napisaniu reguł zapory, aby ograniczyć dostęp do drukarki. Możesz to zrobić na kilka sposobów. Nie grałem tą metodą, ale najłatwiejszą metodą jest prawdopodobnie napisanie odpowiednich reguł w administracji - & gt; polecenia. Pomysł polega na napisaniu reguły, która zezwala tylko na dostęp do serwera i routera (dzięki czemu klienci mogą wykonywać wyszukiwania DNS) z drugiego SSID. Jest wiele sposobów na to, które będą się nieznacznie różnić w zależności od konfiguracji - ale patrzysz na dodawanie reguł takich jak:

/sbin/iptables -I FORWARD -s SSID2.IP.RANGE netmask SSID.IP.NETMASK -j DROP
/sbin/iptables -I FORWARD -s SSID2.IP.RANGE -d IP.ADDR.OF.SERVER -j ACCEPT