Мне интересно, будет ли безопасно настроить мою сеть с одним коммутатором, работающим как с внутренним, так и с внешним интерфейсами.
В настоящее время у меня есть блок IP-адресов 255.255.255.240 от провайдера и частная сеть 10.10.10.0/24, работающая от маршрутизатора. Маршрутизатор имеет один порт WAN и настроен с использованием одного из внешних IP-адресов в качестве статического IP-адреса. Все компьютеры в настоящее время отключены от частной сети. Используемый коммутатор - NETGEAR JGS516.
В основном текущая настройка выглядит так:
Computers ---- Switch ---- Router ---- ISP's Switch
Я бы хотел сделать следующее (в основном подключив порт WAN и LAN маршрутизатора к коммутатору):
Router
/\
Computers ---- Switch ---- ISP's Switch
Я пробовал это делать, и, похоже, это сработало. Я могу назначать компьютерам как публичные, так и частные IP-адреса, и они оба работают.
Причина, по которой я хочу внести это изменение, заключается в том, чтобы компьютерам, находящимся за коммутатором, можно было назначить общедоступные IP-адреса. Я хочу, чтобы у некоторых из них были только общедоступные IP-адреса, у некоторых - только частные IP-адреса, а некоторым были назначены как частные, так и общедоступные IP-адреса с использованием одной сетевой карты на компьютере.
Я хочу знать следующее:
Каковы были бы недостатки этой установки?
Может ли это поставить под угрозу безопасность сети?
Могут ли машины получать доступ к компьютерам, которым назначен только частный IP-адрес?
Что еще я должен знать?
Поздравляю. Вы эффективно устранили любую безопасность, которую маршрутизатор обеспечивал для вашей внутренней сети.
Что вам нужно сделать, так это вернуть все в исходное состояние и настроить NAT на вашем маршрутизаторе для NAT соответствующий общедоступный IP-адрес на соответствующий частный IP-адрес.
Каковы были бы недостатки этой установки?
Безопасность. Машины, которым вы назначили общедоступные IP-адреса, теперь полностью доступны для Interwebs.
Может ли это поставить под угрозу безопасность сети?
Да. Если ваши общедоступные машины будут взломаны, вы скоро обнаружите, что у вас проблемы в не очень частной локальной сети.
Могут ли машины получать доступ к компьютерам, которым назначен только частный IP-адрес?
Я так понимаю вы имеете в виду из публичной сети? Нет, их нельзя маршрутизировать напрямую. Но см. Выше.
Что еще я должен знать?
Да, вернитесь к исходному методу. Если это вариант Cisco или HP, вы должны настроить правила NAT для сопоставления общедоступных IP-адресов с внутренними серверами, а затем добавить определенные элементы управления списком доступа, чтобы заблокировать открытые порты и при необходимости управлять исходными сетями.
Это просто означает, что вы также не можете использовать маршрутизатор в качестве брандмауэра и не можете изолировать машины, которые подключаются только к общедоступной сети, от машин, которые подключаются только к частной сети. В большинстве типичных домашних сетей ни того, ни другого не происходит. Так что если вы строите обычную домашнюю сеть, это не будет иметь никакого значения.