Вопрос или проблема
Так что я обдумывал последние несколько дней возможность наконец переработать свою сеть дома, чтобы установить файрвол между маршрутизатором и сервером. Проблема в том, что моя сеть не находится в состоянии, когда я могу просто переместить всё за файрвол, поэтому я хочу достичь промежуточной цели, обеспечив безопасность для моего сервера, а если что-то случится, то хотя бы безопасность для остальной части моей сети. Я работаю в ИТ, но всё ещё учебник, и сам ещё не настраивал файрвол.
Так что воспринимайте это изображение как мою текущую инфраструктуру:
Двойная линия ещё не установлена, но запланирована, (так что текущее подключение можно разорвать) вот почему у меня есть этот вопрос.
Если я настройку базовые настройки, я смогу подключиться с LAN (сервера) к WAN без проблем. Это работает нормально. Но у меня есть NAS, почтовый сервер, веб-сайт, игровые серверы и ещё несколько вещей на моем сервере, к которым мне нужно выборочно получить доступ с WAN, но такие вещи, как мой NAS, я должен получить доступ только из своего внутреннего диапазона сети (192.168.178.x).
Так как я могу получить доступ к серверу (Port1, LAN, 192.168.1.x) с моего рабочего стола (192.168.178.250)?
Коллега с работы сказал мне отключить DHCP на моем Fritzbox, задать ему IP 192.168.178.2, позволить файрволу создать DHCP на Port2, WAN, с IP 192.168.178.1 для сетевого интерфейса, включить открытый хост для FW (192.168.178.1) и указать шлюз на 192.168.178.2 (новый IP для Fritzbox).
Даст ли это мне возможность, создавая правило из WAN, любое к LAN, любое с любым сервисом, получить соединение из моей сети 192.168.178.x в сеть 192.168.1.x?
Предложение вашего коллеги (отключить DHCP на Fritzbox, настроить файрвол для обработки DHCP и настроить файрвол как открытый хост) действительно кажется довольно разумным, но обратите внимание на следующее:
- Слишком сильная зависимость от открытого хоста (DMZ) может быть небезопасной, так как это открывает файрвол для всего входящего WAN-трафика.
-
Если можете, используйте переадресацию портов для контроля доступа WAN вместо этого, как я сказал в своем комментарии.
-
Независимо от того, решите ли вы сделать первое или нет, обязательно используйте правила файрвола, чтобы ограничить внешний доступ только к необходимым сервисам (таким как ваш веб-сервер или почтовый сервер). Обязательно блокируйте или ограничивайте доступ к чувствительным сервисам, таким как NAS, от доступа WAN.
- Не связано с безопасностью, но избегание двойного NAT путем размещения Fritzbox в режиме моста может снизить проблемы с подключением, по очевидным причинам.
Ответ или решение
Переход к безопасной архитектуре домашней сети: доступ к LAN из WAN
Ваша ситуация требует внимательного подхода к перестройке сети, чтобы обеспечить безопасность вашего сервера и остальной части сети. Ниже представлены шаги, которые помогут вам организовать доступ к серверу с вашего локального компьютера, а также обеспечить безопасность других компонентов сети.
1. Понимание текущей инфраструктуры
На данный момент ваша сеть выглядит следующим образом:
- Fritzbox выполняет роль маршрутизатора, и на нем включен DHCP.
- Сервер с различными сервисами (NAS, почтовый сервер, веб-сервер, игровые серверы) находится в подсети 192.168.1.x.
- Клиентские устройства работают в подсети 192.168.178.x.
Вы правильно отметили, что необходимо установить межсетевой экран (Firewall) между маршрутизатором и сервером. Кроме того, вы хотите, чтобы доступ к серверу с внутренней сети (192.168.178.x) был возможно, а доступ к NAS и другим важным сервисам с внешней сети (WAN) был ограничен.
2. Настройка Fritzbox
Ваш коллега предлагает отключить DHCP на Fritzbox и установить ему статический IP-адрес (192.168.178.2). Это сработает, и ваш межсетевой экран будет управлять DHCP для вашей основной сети. Однако, стоит учитывать несколько моментов:
- Избегайте режима DMZ (открытого хоста): хоть это и может упростить настройки, это потенциально подвергает вашу сеть риску, так как открывает доступ ко всем входящим соединениям с WAN.
- Рекомендуется использовать портовое перенаправление для ограничения доступа к конкретным сервисам.
3. Настройки межсетевого экрана
После установки межсетевого экрана:
- Настройте его IP-адрес на порту WAN (например, 192.168.178.1).
- Убедитесь, что все внутренние устройства (включая NAS) находятся в защищенной подсети.
-
Настройте правила:
-
Правило для доступа с WAN во внутреннюю сеть:
-
Установите правило, разрешающее трафик с WAN на LAN с ограничениями на конкретные порты и услуги, которые вы хотите открыть (например, для веб-сервера и почтового сервера).
-
Запретить доступ к NAS и другим важным сервисам с WAN:
-
Установите жесткие правила для блокировки любого трафика, который пытается обратиться к NAS (например, порты 5000 и 5001 в случае использования Synology).
-
4. Подключение с клиента к серверу
Для подключения к серверу (192.168.1.x) с вашего ПК (192.168.178.250) вы можете использовать следующую настройку:
- Настройка маршрутов: Убедитесь, что настройки маршрутов в межсетевом экране верны, чтобы трафик между двумя внутренними сетями мог корректно маршрутизироваться.
- Если необходимо, добавьте статические маршруты на ПК для направлению трафика на сервер через межсетевой экран.
5. Рекомендации по улучшению безопасности
- Активируйте VPN: Для безопасного удаленного доступа к вашим внутренним ресурсам рассмотрите возможность настройки VPN-соединения.
- Регулярные обновления: Убедитесь, что все устройства, включая межсетевой экран и сервер, регулярно обновляются для защиты от известных уязвимостей.
- Мониторинг логов: Настройте мониторинг логов для выявления необычной активности.
Заключение
Переход к безопасной архитектуре сети — это важный шаг в защите ваших данных и систем. Следуя вышеизложенным рекомендациям, вы сможете создать более безопасную и управляемую инфраструктуру, сохраняя необходимый доступ к вашим сервисам. Заключительные настройки и тестирование перед полным развертыванием помогут минимизировать риски и обеспечат надежную работу системы.