É possível, mas certamente não estou convencido de que seja sábio.
O FreeNAS sendo baseado no FreeBSD, tem a capacidade de usar o pacote pf
firewall / routing integrado, que pode facilmente criar interfaces em ponte que farão o que você quiser. Em essência, um switch / bridge é simplesmente um dispositivo de rede para passar pacotes, e uma vez que a linha externa se torna pacote de dados no modem, qualquer switch / bridge Ethernet o conectaria facilmente ao seu modem se você quisesse um switch ou bridge entre eles. Então, se você insistiu em fazê-lo, então sim, você pode configurar 3 das 5 portas do seu NAS, para que as portas 0 + 1 sejam conectadas sem um endereço IP (crucial caso contrário, as pessoas de fora o acessem) e usadas para conectar o modem o roteador e a porta 2 é usada para NAS - > LAN com um IP de gerenciamento definido.
Mas deus sabe, eu nunca faria isso.
Primeiro, seu roteador está agindo (idealmente) como o gateway que protege seus dispositivos locais contra o exterior. Uma ponte, mesmo sem um IP, é um dispositivo interno exposto desprotegido. Suponha que você o desconfigure, ou uma atualização do FreeNAS não respeita sua configuração de rede exata (especialmente se tiver que ser configurada manualmente fora da GUI)? Então seu NAS e seus dados podem estar indefesos, e como também está no lado da LAN do roteador através de outras interfaces, você acabou de dar a alguém as chaves para ignorar qualquer coisa no seu roteador também.Sim, as empresas colocam os servidores em uma DMZ. Mas eles consideram o que está neles e como isso é garantido, muito mais profundo que você ou eu podemos. Mesmo assim, eles geralmente fazem proxy (assim, o usuário externo realmente alcança um proxy ou 'segurança' não o servidor real) para melhorar a segurança e controlar o que acontece.
E para que benefício? Para monitorar os dados? Se você quiser monitorar o tráfego entre eles, faça-o no roteador ou até mesmo obtenha um switch barato com o espelhamento de porta e coloque-o entre eles. Até mesmo um switch gerenciado de porta de 4-8 mbitros de 100 Mbits de 10 ou 15 anos atrás no eBay pode ter essa capacidade. Ou você mencionou o pfSense - ele incorporou o recurso de registro e captura de pacotes na porta que o conecta ao modem, se usado como um roteador. Compre uma placa-mãe antiga e 2 GB de RAM e faça isso. Mas pelo amor de Deus, a menos que você esteja muito seguro de si mesmo e de seu conhecimento, não faça o que está descrevendo:)
Atualize o espelhamento e a segurança
Você tem 3 opções - monitoramento em software (pf ou tcpdump no FreeBSD), usando um hub ou usando um switch gerenciado / inteligente.
Usando o software , mesmo que você tenha uma ponte, você ainda precisa configurar o espelhamento de pacotes ou (para FreeNAS) capturar pacotes sem ajuda na CLI, porque essa não é uma função na GUI de FreeNAS, mesmo que exista no sistema operacional instalado. Então você precisa ter uma visão de como fazer isso também, embora não seja difícil. Você pode aparentemente fazer o espelhamento de porta no FreeBSD, seja usando a opção pf.conf dup-to
, ou usando tcpdump
que é quase sempre interno, para tocar e duplicar o tráfego ou capturá-lo para arquivo, mas eu não sei os detalhes. Essas seriam as maneiras de fazer isso, no entanto. Eu não faria dessa maneira devido a problemas de segurança, conforme mencionado acima.
Um hub de rede de consumidor antigo (não "switch"!) pode ser barato e também funcionar, mas eu não seguiria esse caminho devido a preocupações de segurança (endereçáveis). A essência de um hub é espelhar o tráfego all para as all portas. Se você executar o cabo [modem - > hub - > roteador], então qualquer dispositivo poderia ouvir. Mas eu não faria isso por 2 razões - primeiro é que os hubs são mais desatualizados e podem ser difíceis de obter, mas muito mais importante, se ele puder bisbilhotar, pode ser detectado e talvez tenha criado uma fraqueza que pode ser hackeada / penetrada, porque mais uma vez ela está diretamente ligada ao lado de fora e passa pelo roteador. Então eu menciono isso para ser completo, não porque seja necessariamente uma boa idéia!
Um managed switch provavelmente seria o melhor, porque isola o tráfego do seu NAS e é projetado para o trabalho, e os switches inteligentes pequenos são muito baratos no eBay etc. Como eu disse, até mesmo muitos anos de idade faria o trabalho. Mas certifique-se de que há alguma configuração de segurança definida e verifique / considere a segurança com cuidado, pelo mesmo motivo que eu dei para o hub. Talvez portas de espelho sejam projetadas para serem inerentemente seguras, o que seria tudo o que você precisa, mas eu não sei o suficiente para dizer mais sobre isso. Talvez você queira perguntar separadamente sobre como proteger uma porta de switch gerenciada conectada à WAN que é usada apenas para monitorar a WAN (tráfego de espelhamento) e não é protegida por um roteador ou firewall. infosecurity Stack exchange pode ser útil nisso.