Conselhos necessários para configuração de rede, incluindo servidor web, impressora aérea e dispositivos externos

Navegue suas respostas
0

Gostaria de saber se alguém pode me informar se a configuração de rede a seguir funcionará conforme necessário e se há algum sinal de alerta / sinal vermelho a ser endereçado.

Para começar, os requisitos: 1) um dispositivo principal executando um servidor web deve ter acesso à internet e uma impressora a ar conectada na mesma rede wifi 2) outros dispositivos devem ser capazes de se conectar ao servidor web usando um endereço IP interno (ou seja, não através da internet) 3) os outros dispositivos não devem ter acesso à impressora aérea ou à internet.

Eu identifiquei um bom roteador TP-LINK barato que suporta o uso de um dongle USB 4G para conectividade com a Internet, enquanto aparentemente também é capaz de bloquear o acesso a sites que não estão em uma lista branca. Eu aprecio que bloquear sites! = Bloquear a internet, mas por enquanto vamos seguir em frente. Embora esse roteador possa fornecer uma rede guest para a conexão de outros dispositivos, ele não parece capaz de impedir essas conexões permitindo seletivamente o acesso a determinados endereços IP da LAN (ou seja, o dispositivo que executa o servidor da Web), o que significa que provavelmente capaz de ver o AirPrinter. Eu testei algo assim em meu roteador Asus em casa e, na verdade, desde que o LAN Access esteja habilitado, o dispositivo convidado de conexão pode ver meu AirPrinter. Mau!

Minha solução para isso é adicionar um segundo roteador TP-LINK em execução no modo Access Point, conectando-o ao primeiro roteador, definindo um SSID diferente e, em seguida, tendo todos os outros dispositivos conectados ao segundo roteador. Eu tentei isso também em casa e no meu teste, o segundo roteador recebeu um IP na mesma sub-rede do roteador principal e, embora eu pudesse me conectar a ele usando meu telefone, não consegui ver o AirPrinter que estava conectado o roteador principal. No entanto, ainda consegui me conectar ao servidor da Web em execução no roteador principal. Ótimo.

Estou realmente procurando por uma validação dessa abordagem, qualquer sugestão de como ela pode ser melhorada (por exemplo, manter o segundo roteador em uma sub-rede e, em seguida, ativar uma rota dele para o endereço IP específico do servidor da Web no roteador principal?) e se existem maneiras mais eficazes de bloquear o acesso à Internet a partir do segundo roteador inteiramente (em vez de apenas pela lista branca no roteador principal).

Felicidades

    
por Snouto 28.11.2017 / 06:35

1 resposta

0

Essa abordagem provavelmente não é muito segura, mas pode impedir tentativas casuais de acessar a impressora. Espero que, embora a impressora não possa ser digitalizada (porque não está na mesma sub-rede que os dispositivos que a examinam), você pode adicionar a impressora pelo endereço IP. Você pode até achar o endereço IP fazendo uma varredura de portas. (Você pode ter um pouco mais de sorte se inverter o primeiro e o segundo roteador - ou seja, ter a impressora e o servidor web por trás do NAT, usar o mapeamento de portas e adicionar rotas ao roteador principal - o que isolará a impressora e o servidor da Web. dificuldades limitando a Internet com esta solução)

Uma abordagem mais viável

Sua não trivial (mas, novamente, qualquer boa solução para este problema será não-trivial), mas se você tiver um roteador capaz de executar dd-wrt e flash dd-wrt nele, você deve ser capaz de fazer tudo o que você está querendo fazer - abaixo estão algumas orientações gerais sobre as etapas aproximadas -

Você deseja criar 2 SSIDS (redes virtuais), uma para o servidor e a impressora, e outra para seus outros dispositivos. Isso é bastante simples de se fazer - basta adicionar interfaces virtuais no menu Configurações sem fio - > Você desejará que a configuração de rede não seja vinculada e forneça um segundo endereço IP e uma máscara de sub-rede ao SSID principal. Eu não brinquei com isso, mas imagino que se você deixar o NAT desativado, os dispositivos conectados no segundo SSID não poderão se conectar à Internet.

Depois de aplicar isso, você acessa a opção Configuração - > Rede e, na opção DHCPD, adicionar intervalos de endereços IP para o SSID.

Em seguida, você desejará atribuir um endereço IP estático à impressora. Você pode fazer isso na própria impressora ou usar as concessões estáticas em Serviços - > Locações estáticas. Você vai querer fazer algo semelhante para o servidor web.

A última parte, que é onde fica um pouco complicado - é escrever regras de firewall para limitar o acesso à impressora. Existem algumas maneiras de fazer isso. Eu não joguei com este método, mas o método mais fácil é provavelmente escrever as regras apropriadas sob administração - > comandos. A ideia aqui é escrever uma regra que permita apenas acesso ao servidor e roteador (para que os clientes possam fazer pesquisas de DNS) a partir do segundo SSID. Existem muitas maneiras de fazer isso, que serão sutilmente diferentes dependendo da sua configuração - mas você está olhando para adicionar regras como: 

/sbin/iptables -I FORWARD -s SSID2.IP.RANGE netmask SSID.IP.NETMASK -j DROP
/sbin/iptables -I FORWARD -s SSID2.IP.RANGE -d IP.ADDR.OF.SERVER -j ACCEPT
    
por 28.11.2017 / 10:40

Tags

Não é possível desativar a rede peer-to-peer antiga no Mac OS High Sierra Compreendendo as especificações do roteador corretamente?