я использую Asus RT-AC88U роутер (с Мерлин прошивка) для домашней сети. Недавно добавил в сеть новое устройство - Qnap NAS. Через некоторое время я понял, что мой компьютер использует qnap в качестве DHCP-сервера - ПК получил IP-адреса за пределами подсети маршрутизатора Asus. Подсеть Asus есть 192.168.1.1/24, Подсеть Qnap 10.0.3.1/24.
Эта ситуация очень плохая для меня, потому что я использую правила брандмауэра, которые не позволяют моим устройствам напрямую подключаться к WAN - в качестве места назначения разрешен только VPN-сервер. Qnap NAS был исключением - ему был разрешен прямой доступ к WAN для повышения скорости. Но каким-то образом это исключение брандмауэра + DHCP Qnap в основном разрушили безопасность сети - теперь любое устройство, которое получает IP-адрес от Qnap, автоматически обходит брандмауэр и переходит напрямую в WAN. Похоже, сам Qnap действовал как маршрутизатор, поскольку Asus даже не видел мой компьютер подключенным (но видел Qnap).
Очевидно, я могу отключить DHCP и / или маршрутизацию в Qnap. Но в моей настройке все еще есть брешь в безопасности. Мне нужна единственная точка отказа, которой должен быть маршрутизатор, а не файловый сервер.
Возникает вопрос: учитывая Asus RT-AC88U, как заблокировать весь трафик с любого локального IP-адреса, находящегося за пределами DHCP-пула маршрутизатора? Я бы хотел, чтобы любой пакет с недопустимым IP-адресом источника удалялся, как только он проходит через порт LAN маршрутизатора. Или как вариант: как заблокировать любой DHCP-сервер кроме роутера?