Compartilhando um comutador com interfaces internas e externas

4

Eu estou querendo saber se seria seguro configurar minha rede com um único switch executando interfaces internas e externas.

Atualmente, tenho um bloco 255.255.255.240 de IPs do ISP e uma rede privada 10.10.10.0/24 em execução no roteador. O roteador tem uma porta WAN e é configurado com um dos IPs externos como um IP estático. Todos os computadores estão atualmente fora da rede privada. O switch que está sendo usado é um NETGEAR JGS516.

Basicamente, a configuração atual é assim:

  Computers  ----  Switch  ---- Router ---- ISP's Switch

O que eu gostaria de fazer é isso (basicamente conectando a porta WAN e LAN do roteador ao switch):

                  Router
                    /\
 Computers  ----  Switch  ---- ISP's Switch

Eu tentei fazer isso e parece funcionar. Eu posso atribuir IPs públicos e privados a computadores e ambos funcionam.

O motivo pelo qual estou querendo fazer essa alteração é que os computadores que estão por trás do switch podem receber IPs públicos. Eu quero que alguns deles tenham apenas IPs públicos, alguns IPs privados e alguns sejam atribuídos a IPs públicos e privados usando a única NIC no computador.

O que eu quero saber é:

Quais seriam as desvantagens dessa configuração?

Isso comprometeria a segurança na rede?

As máquinas poderiam acessar computadores que possuem apenas um IP privado atribuído a eles?

Mais alguma coisa que eu deveria saber?

    
por Matt 07.10.2011 / 21:57

3 respostas

8

Parabéns. Você eliminou efetivamente toda segurança que seu roteador estava fornecendo para sua rede interna.

O que você precisa fazer é colocar as coisas de volta como estavam e configurar NAT no seu roteador para NAT. endereço IP público apropriado para o endereço IP privado apropriado.

    
por 07.10.2011 / 22:05
4

What would be any downsides to this setup?

Segurança. As máquinas às quais você atribuiu IPs públicos estão agora completamente expostas às Interwebs.

Would this compromize security on the network?

Sim. Se suas máquinas públicas forem invadidas, você logo descobrirá problemas em sua LAN não tão privada.

Could machines access computers that only have a private IP assigned to them?

Eu suponho que você quer dizer da rede pública? Não, eles não seriam encaminhados diretamente. Mas veja acima.

Anything else I should know?

Sim, volte ao método original. Se for uma variante Cisco ou HP, você pode configurar regras NAT para mapear IPs públicos para os servidores internos e, em seguida, adicionar controles de lista de acesso específicos para bloquear as portas abertas e controlar as redes de origem, se necessário.

    
por 07.10.2011 / 22:18
0

Significa apenas que você não pode usar o roteador como um firewall e não pode isolar máquinas que se conectam apenas à rede pública de máquinas que se conectam apenas à rede privada. A maioria das redes domésticas típicas não faz nenhuma dessas coisas de qualquer maneira. Então, se você está construindo a rede doméstica típica, não fará diferença alguma.

    
por 08.10.2011 / 00:38