请记住，虽然您可能打算让您和您的朋友使用它，但它会在 Internet 上并开放给任何人利用。

就个人而言，如果在 Internet 上公开一个故意易受攻击的设备是目标，那么隔离越多越好。我建议获得一个完全独立的 Internet 连接（使用它自己的硬件）来专用于易受攻击的主机。暴露可利用设备后，将连接到该网络的任何设备（包括任何网络设备）都视为受到威胁。

为了让自己更轻松，请尽可能轻松地恢复所有内容。在暴露任何东西之前，请先配置好一切并确保安全。配置和系统的存档备份（不要存储在将被公开的同一网络上）。使用Deep Freezes系统或使其易于恢复的软件。这样，当需要再次确保一切安全时，它需要尽可能少的工作（可能只是重新启动或恢复出厂默认配置）。

为该环境中的每台设备使用您从未在其他地方使用过的唯一密码。每次暴露易受攻击的网络时更改这些密码。

可能最重要的是，仅在您实际使用易受攻击的系统时才公开它。主要是因为被利用的系统可用于攻击其他实体。防止您的系统参与其他地方的攻击首先是成为一名优秀的“网民”，但如果这还不够，请想象一下您的可利用系统又回来咬您个人（即用于暴露您的财务等的攻击）。此外，根据您居住地的法律，您可能要对故意利用的系统造成的损害负责。最后，这也将有助于防止它成为广为人知的软目标。

我最后一句话的意思是，“软目标”被列入名单，有时被那些希望利用系统的在线人员共享。您提到“Kali RPi 中的日志充满了蛮力攻击”。如果您的 RPi 没有对这些蛮力攻击采取行动（即在 X 次尝试失败后丢弃来自源 IP 的流量等），那么这些攻击的数量只会随着时间的推移而增加。如果 RPi 采取行动，随着时间的推移，它会看到更少的尝试（它们永远不会完全消失）。

VLAN 为您提供第 2 层（广播）分离，但没有第 3 层（IP）分离，听起来您需要第 3 层分离。为了防止从一个 VLAN 访问另一个 VLAN 并在同一路由器上终止，您需要放入 ACL 以防止 VLAN 之间的访问。

故意不安全的盒子在您放置它的任何 VLAN 上仍然是不安全的，如果路由器是 VLAN 的同一路由器，除非您在路由器上放置 ACL 以防止访问，否则您实际上并没有在 VLAN 之间添加任何安全性从一个 VLAN 到另一个 VLAN，这将禁止 VLAN 之间的流量，因此您需要在网络之外才能访问不安全的 VLAN，如果需要访问不安全的 VLAN，您的工具服务器也需要在网络之外.

如果你的盒子都在防火墙后面的网络上，你可以设置一个 VPN 来穿越你的防火墙，你可以限制特定人群访问 VPN。这样一来，您就有了一个未公开暴露的易受攻击的盒子，但您和您的朋友可以通过 VPN 随意攻击它。

我不确定 VLAN 是否真的能为您带来任何好处，但您可能正在寻找具有内置防火墙和 VPN 的安全路由器。