คอมพิวเตอร์ 1 เครื่อง, 2 NICs, 2 ที่อยู่ IP สาธารณะคงที่

คอมพิวเตอร์เดสก์ท็อปที่บ้านของฉันมี NIC สองตัว ฉันใช้อินเทอร์เน็ตสำหรับความต้องการอินเทอร์เน็ตส่วนตัวของฉันและวางแผนที่จะใช้อินเทอร์เน็ตอื่นที่ค่อนข้างไม่ได้ตั้งใจ ฉันจะสร้างเซิร์ฟเวอร์ SOCKS / VPN บนเครื่องเสมือนใช้มันเฉพาะกับเครือข่ายสำรอง NIC และให้ที่อยู่ IP สาธารณะแบบคงที่ของตัวเอง ฉันมีเกตเวย์ "เราเตอร์" หนึ่งตัวและโมเด็มหนึ่งตัวเป็นองค์ประกอบแยก

แผนการนี้มีสองด้านที่ยังคงเป็นปริศนาสำหรับฉัน

ฉันสามารถแยกทราฟฟิกของ VM เป็นหนึ่งใน NIC ได้ แต่ฉันจะแยกทราฟฟิกของเครื่องโฮสต์ไปยังอีกอันได้อย่างไร
วิธีที่ปลอดภัยและถูกที่สุดในการตั้งค่าคืออะไร

ตามที่ฉันเข้าใจฉันสามารถรับเราเตอร์ที่สามารถใช้งานได้กับ dd-wrt หรือ OpenWrt ซึ่งจะอนุญาตให้ฉันใช้ NAT 1: 1 และแสดง IP ทั้งสองแบบสาธารณะ ฉันสามารถใส่เกตเวย์ที่มีอยู่ระหว่าง NIC ของเครื่องโฮสต์กับเราเตอร์เพื่อเพิ่มความปลอดภัยอีกชั้น เนื่องจาก VM มีการใช้งานอย่างจริงจังมากขึ้นจึงอาจต้องการเลเยอร์ความปลอดภัยของฮาร์ดแวร์ภายในเราเตอร์เช่นกัน

อีกวิธีหนึ่งฉันสามารถรับสวิตช์และเกตเวย์อื่น ฉันไม่ได้ซื้อสวิตช์มาก่อนและฉันไม่แน่ใจว่าจะมองหาอะไรในบริบทนี้

ฉันขาดความเป็นไปได้อื่น ๆ หรือไม่?

networking router ip dd-wrt

— Asanak
แหล่งที่มา

คุณมี IP สาธารณะ (เช่นเดียวกับในอินเทอร์เน็ตที่กำหนดเส้นทางได้) หรือไม่?

— Daniel B

ไม่ใช่ในขณะนี้ แต่ ISP ของฉันให้บริการเหล่านี้ ฉันสามารถมีพวกเขาด้วยการโทร 5 นาที ฉันกำลังมองหาความช่วยเหลือเกี่ยวกับคำถามของฉัน ฉันไม่สงสัยเกี่ยวกับองค์ประกอบของโพสต์ของฉันที่ฉัน ไม่ ถามเกี่ยวกับ. มีคนผูกพันที่จะแนะนำฉันไม่ต้องการ IP สาธารณะสองรายการ ขอผมออกไปก่อนด้วย

— Asanak

ยินดีต้อนรับ ถาม อะไรคือวิธีที่ปลอดภัยและถูกที่สุด เชิญความคิดเห็นที่อยู่นอกหัวข้อ นอกจากนี้ยังช่วยถ้าคุณอธิบายว่าคุณตั้งใจจะทำอย่างไรกับ VM

— Twisty Impersonator

หัวข้อใดอยู่นอกหัวข้อ ความปลอดภัยในระบบเครือข่ายหรือค่าใช้จ่ายของส่วนประกอบเครือข่าย? ฉันต้องการโฮสต์เซิร์ฟเวอร์ SOCKS / VPN บน VM ด้วย IP ที่มีอยู่ทั่วไปและแตกต่างจาก IP ที่ฉันใช้สำหรับการอินเทอร์เน็ตส่วนบุคคล นั่นคือทั้งหมดในโพสต์ต้นฉบับและฉันไม่เห็นว่ารายละเอียดเพิ่มเติมเป็นสิ่งจำเป็นเพื่อตอบคำถามของฉัน หากฉันมีข้อผิดพลาดในเรื่องนี้โปรดแสดงให้ฉันเห็นว่า รายละเอียดเพิ่มเติมอาจช่วยให้ผู้อื่นพูดถึงสิ่งที่ฉันไม่ได้ถาม แต่นั่นไม่เกี่ยวข้องกับฉัน

— Asanak

คำตอบ:

คุณสามารถแยก roothost ได้ง่ายๆโดยไม่เปิดใช้งาน / กำหนดค่า L3 บนอินเตอร์เฟส roothost สำหรับ NIC นั้น (สมมติว่าไฮเปอร์ไวเซอร์จัดหาเครือข่ายให้กับ VM ผ่านบริดจ์อินเตอร์เฟส L2) นี่จะเป็นการแยกการรับส่งข้อมูลและความปลอดภัยขั้นพื้นฐาน (เช่นไม่เปิดเผยให้กับ VM)

สำหรับความปลอดภัยที่เข้มงวดมากขึ้นความต้องการ / ความกังวลที่แท้จริงของคุณอยู่ที่นี่?

จากห้องพักไปจนถึง VM สิ่งนี้จะเป็นภาพร่างเสมอ

ระหว่าง VM และเครือข่ายคุณไม่จำเป็นต้องใช้ฮาร์ดแวร์มากขึ้น คุณสามารถปรับใช้ VM อีกด้วย OpenWrt หรือเราเตอร์ที่เปิดใช้งานการรักษาความปลอดภัยอื่น ๆ แล้วส่งทราฟฟิกผ่านมัน จากนั้นเชื่อมต่อภายนอกเชื่อมต่อ L2 กับเราเตอร์ VM และเชื่อมต่อเป้าหมาย VM กับเราเตอร์ VM ผ่านสวิตช์เสมือนแยก

แต่ทำไมถึงต้องพิจารณาไฟร์วอลล์ภายนอกเมื่อคุณสามารถใช้ไฟร์วอลล์ภายในที่ระบบปฏิบัติการใน VM เป้าหมายได้

ความปลอดภัย - ฉลาดฉันจะไม่ใช้ NAT 1: 1 จริงๆ แต่จะเปิดเผย / ส่งต่อพอร์ตที่ต้องการเท่านั้น ช่วยให้คุณควบคุมได้มากขึ้นและมอบการรักษาความปลอดภัย / ความซับซ้อนต่อผู้โจมตี

— Michał Sacharewicz
แหล่งที่มา

ฉันจะตรวจสอบปัญหาส่วนต่อประสาน L2 / L3 - นั่นคือข้อมูลใหม่สำหรับฉันและขอบคุณ ฉันอาจจะไปเกินความต้องการด้านความปลอดภัยที่จินตนาการไว้ ฉันรู้ว่าการส่งต่อพอร์ตจะปลอดภัยกว่า แต่ฉันต้องการ IP มากกว่าหนึ่งตัว นั่นไม่ใช่แง่มุมของแผนที่ฉันต้องการเปลี่ยนแปลง

— Asanak

แต่การส่งต่อแบบเลือกไม่ได้หยุดคุณจากการใช้ที่อยู่ IP สองที่ ฉันสันนิษฐานว่า (a) ตั้งแต่คุณพูดคุย NAT NAT เลยจากนั้นที่อยู่ IP ทั้งสองจะถูกกำหนดให้กับเราเตอร์และ (b) เนื่องจากคุณสามารถทำ NAT 1: 1 จาก IP สาธารณะเดียวกับ IP ท้องถิ่นเดียว เราเตอร์ของคุณรองรับกฎการแปล NAT ที่ขึ้นอยู่กับที่อยู่ปลายทาง หากถูกต้องคุณสามารถกำหนดกฎ NAT แบบแยกสำหรับทั้งที่อยู่สาธารณะได้เช่น nat match dest ip public1 port 80,443 target ip roothost และ nat match dest ip public2 port 80,443,1194 target ip vm

— Michał Sacharewicz

ตกลงใช่ฉันเห็นว่าปัญหาการส่งต่อพอร์ตยังคงเกี่ยวข้องกับ IP สาธารณะที่สอง ฉันไม่ได้พูดถึงเว็บพร็อกซี ฉันไม่แน่ใจว่าฉันต้องการ จำกัด พอร์ตที่สามารถใช้งานได้โดยเซิร์ฟเวอร์ของ VM ไม่ว่าในกรณีใดฉันสามารถแก้ไขปัญหานี้ได้ในภายหลังเมื่อฉันตัดสินใจซื้อฮาร์ดแวร์ที่จำเป็น ดูเหมือนว่าเราเตอร์เดียวที่ฉันสามารถแฟลชด้วยซอฟต์แวร์บุคคลที่สามจะเพียงพอ ดูเหมือนว่าการพยายามทำบางสิ่งบางอย่างกับส่วนต่อประสาน L3 นั้นจะเกินความสามารถของฉัน การแยก NIC สองตัวออกจากโฮสต์นั้นดูเหมือนจะเป็นปัญหาที่ไม่สามารถเอาชนะได้ดังนั้นฉันจะต้องเปลี่ยนไปใช้คอมพิวเตอร์เครื่องที่สอง

— Asanak

เรากำลังพูดถึงสภาพแวดล้อมอะไร? (ระบบปฏิบัติการและ virtualization)

— Michał Sacharewicz

สภาพแวดล้อมคือ Windows VM ถูกบึกบึน หากฉันไม่ต้องการความสามารถพิเศษใด ๆ ฉันจะใช้ VirtualPC สำหรับ Windows และ Windows XP Mode เพราะสิ่งเหล่านี้จะให้ฉันฟรี แต่ฉันยืดหยุ่นบน VM

— Asanak

หาก ISP กำหนดค่าที่อยู่ 2 ให้เป็น 'ส่ง' ไปยังที่อยู่ IP หลักของคุณ (หรือหากอินเทอร์เน็ตอัปลิงค์ของคุณจากเราเตอร์เป็นเทคโนโลยีแบบจุดต่อจุดเช่น PPPoE):

คุณสามารถกำหนดที่อยู่ IP ให้กับเราเตอร์และดำเนินการ DNAT กับที่อยู่ภายในของเซิร์ฟเวอร์
หากเราเตอร์รองรับเส้นทางสแตติกแบบกำหนดเอง 1: 1 NAT ไม่มีประโยชน์คุณสามารถเพิ่มเส้นทางแบบคงที่สำหรับที่อยู่ IP ที่ 2 ไม่ว่าจะเป็นที่อยู่ LAN ของเซิร์ฟเวอร์หรือไปยังอินเตอร์เฟส LAN ของตัวเองจากนั้นกำหนดที่อยู่นั้น (เป็น / 32) เซิร์ฟเวอร์โดยตรง

ถ้าอินเทอร์เน็ตอัปลิงค์ของคุณจากเราเตอร์เป็นอีเธอร์เน็ตมาตรฐาน (ไม่ใช่ PPPoE) และ หาก ISP กำหนดค่าที่อยู่ที่สองเป็น 'on-link':

คุณสามารถวางสวิตช์ทั่วไปไว้ด้านหน้าพอร์ต WAN ของเราเตอร์และเชื่อมต่อเซิร์ฟเวอร์กับมัน สวิตช์ที่ไม่มีการจัดการจะทำ ในกรณีนี้คุณจะต้องใช้ไฟร์วอลล์ของเซิร์ฟเวอร์เอง มาก ระมัดระวังเกี่ยวกับการไม่เปิดเผยโดยไม่ได้ตั้งใจเช่น iLO / iDRAC กับอินเทอร์เน็ต
คุณสามารถกำหนดที่อยู่ IP ให้กับเราเตอร์และดำเนินการ DNAT กับที่อยู่ภายในของเซิร์ฟเวอร์ได้เช่นเดียวกับด้านบน
คุณสามารถกำหนดที่อยู่ IP ให้กับเซิร์ฟเวอร์โดยตรงจากนั้นเปิดใช้งาน proxy-ARP และเพิ่มเส้นทางสแตติกสำหรับที่อยู่นั้นบนเราเตอร์ (เหมือนข้างบนยกเว้นสำหรับ proxy-ARP)

ในกรณีใด ๆ รายการที่อนุญาตพิเศษพอร์ตสามารถทำได้ผ่านไฟร์วอลล์ทั้งบนเราเตอร์หรือบนเซิร์ฟเวอร์โดยไม่ขึ้นกับโหมด NAT หรือเส้นทาง

— grawity
แหล่งที่มา