我正在尝试在我家创建一个开放的公共 WiFi 网络供客人使用,因为我今晚晚些时候要举办一个(有点)大型派对。但是,我的路由器都没有任何内置的访客网络功能,并且它们不支持像 DD-WRT 这样的替代固件。
传统上,我所做的只是通过将第二个无线路由器的 WAN 端口连接到我的主路由器的 LAN 端口来创建双 NAT。主路由器使用 WPA2 进行保护,而第二个路由器(用于访客网络)则不受保护。见下图:
不过我的问题是:这个设置真的安全吗?如在,访客设备有什么方法可以访问我的计算机,在 192.168.1.3,或监控主网络上的流量?我在连接到访客网络时尝试 ping,似乎数据包没有到达主网络上的计算机,但是有没有办法解决这个问题?我在网上阅读了几篇关于使用双 NAT 作为创建访客 wifi 网络的方法的文章,但没有一篇文章真正详细介绍了安全性。
提前致谢!
编辑:
- 我在 Cisco Packet Tracer 中绘制了图表,因为我没有其他程序来绘制这些图表,但我实际上并没有使用 Cisco 硬件。主路由器是Verizon Actiontec;来宾网络是便宜的腾达。
如果你想保护你的网络免受访客的侵害,你已经把它倒过来了。192.168.0.0/24网络的计算机可以自由访问192.168.1.0/24网络的计算机。
如果您想使用双 NAT 创建访客网络,您需要将访客网络放置在比您要保护的网络更靠近 Internet 连接的位置。针对临时攻击者,NAT 充当防火墙,对入站连接采用“默认拒绝”策略,对出站连接采用“默认允许”策略,因此您需要将要保护的计算机放在第二个 NAT 的“内部”。
针对严重的攻击者,您希望您的公共网络和专用网络仅在您的 Internet 连接处相遇,您可以在其中设置适当的防火墙来阻止两者之间的任何通信。
这是不安全的,因为您没有隔离来宾网络。他们仍然能够访问您的 192.168.1.3 客户端。
我猜它不响应ping的原因是因为它被配置为不响应ping。无论如何,这台计算机上的主机防火墙可能会阻止大部分流量。
如果您想以适当的方式(使用您拥有的设备)隔离 wifi 客户端,请将访客 wifi 路由器连接到互联网 WAN 端口。在访客路由器的 LAN 端口上,您连接主路由器。
这样,您的客户端可能只能到达主路由器的外部 IP 地址。
但是这个解决方案有它自己的问题。如果您的恶意访客(听上去喜欢在您的网络上捕获标志)能够接管路由器,他们也将能够拦截来自您内部网络的流量。其他 MitM 技巧也适用于此,因为它们位于上游网络中。
这个问题的正确解决方案是让一个支持 VLAN 的交换机对您的内部网络和访客网络进行分段,并且您需要一个防火墙/路由器来阻止通过这两个分段的流量。