내 NAS를 모뎀과 라우터 사이의 다리로 사용할 수 있습니까?


0

현재 홈 네트워크 설정은 다음과 같습니다.

ISP <-> Modem <-> Router(with NAT)/Wireless AP <-> Home Network

내 NAS가 홈 네트워크에 있습니다. FreeBSD 기반의 FreeNAS를 사용하고 있습니다. 나는 기계에 5 개의 이더넷 포트를 가지고있다. FreeNAS에서 NIC를 브리지로 사용합시다. 나는 이것이 어떻게 작동하는지에 관해 많이 모른다.

브리징은 종종 모뎀과 라우터 사이에 놓을 수없는 스위치와 비교됩니다. 그러나 허브와 마찬가지로 브리징을 사용할 수도 있습니다. 모뎀과 라우터 사이의 네트워크 트래픽을 모니터링 할 수 있습니까?

본질적으로 NAS를 네트워크 트래픽 모니터링을위한 브리지로 사용할 수 있습니까?

ISP <-> Modem <-> NAS (as bridge) <-> Router(with NAT)/Wireless AP <-> Home Network

나는 내가하고 싶은 일이 가능하다고 생각하지 않는다. 그러나 나는 그것을 해산하기 전에 지식이있는 사람들과 확인하고 싶었다.

나는 당신이 pfsense를 사용하여 라우터 역할을하는 기계를 설정할 수 있다는 것을 알고있다. 위에서 설명한 내용은 DMZ와 비슷하다고 생각하십니까? 그게 사실이야?


NAS 장치를 홈 네트워크에 연결해야한다는 것을 잊지 마십시오. FreeNAS에 익숙하지 않지만 브리지 트래픽을 스누핑 할 수있는 도구가 있으면 브릿지에 IP 주소없이 브리지에 연결할 인터페이스를 두 개만 선택할 수 있습니다.
David Schwartz

답변:


1

그것의 가능하지만, 나는 그것이 현명하다는 것을 확실히 확신하지 못합니다.

FreeBSD를 기반으로하는 FreeNAS는 pf 방화벽 / 라우팅 패키지가 내장되어있어 원하는 작업을 쉽게 수행 할 수 있습니다. 본질적으로 스위치 / 브리지는 단순히 패킷을 전달하는 네트워킹 장치 일 뿐이며 일단 외부 회선이 모뎀에서 패킷 데이터가되면 이더넷 스위치 / 브리지는 스위치 나 브리지를 원한다면 모뎀에 쉽게 연결합니다. 그래서 당신이 그것을 주장했다면, 그렇습니다. 예를 들어, NAS의 5 포트 중 3 개를 구성하여 포트 0 + 1이 IP 주소없이 연결될 수 있습니다. 그렇지 않으면 중요한 외부의 사람들이 액세스 할 수 있습니다. 라우터 및 포트 2는 NAS에 사용됩니다. LAN에 관리 IP가 설정되어 있습니다.

그러나 신이 알고, 나는 결코 이것을하지 않을 것이다.

첫째, 라우터가 (이상적으로) 로컬 장치를 외부에서 보호하는 게이트웨이 역할을합니다. IP가없는 브리지도 보호되지 않은 내부 장치입니다. 설정을 잘못했거나 FreeNAS 업데이트가 정확한 네트워킹 설정을 따르지 않는다면 (특히 GUI 외부에서 수동으로 설정해야하는 경우)? 그렇다면 NAS와 그 데이터는 무방 할 수 있습니다. 또한 다른 인터페이스를 통해 라우터의 LAN쪽에 있기 때문에 누군가 라우터를 우회 할 수있는 키를 제공했습니다.

예, 기업들은 서버를 DMZ에 집어 넣습니다. 그러나 그들은 그 (것)들에있는 무슨과 그것이 어떻게 장악되는지, 당신 또는 나가 할 수 있던 훨씬 더 충분히 고려한다. 심지어 보안을 강화하고 계속 진행되는 것을 통제하기 위해 외부 사용자가 실제 서버가 아닌 프록시 또는 '경비원'에 실제로 도달하기도합니다.

그리고 어떤 이점이 있습니까? 데이터를 모니터링 하시겠습니까? 라우터 간 트래픽을 모니터링하려면 라우터에서 수행하거나 포트 미러링을 통해 저렴한 스위치를 가져 와서 포트 미러링을 사용하십시오. 10 년 또는 15 년 전 EBay에서 100Mbit 4-8 포트 관리 초침을 사용해도 해당 기능을 사용할 수 있습니다. 또는 pfSense에 대해 언급하면 ​​라우터에 사용되는 경우 포트에 모뎀을 연결하는 포트에 로깅 및 패킷 캡처 기능이 내장되어 있습니다. 오래된 마더 보드와 2GB 램을 구입하고 그렇게하십시오. 그러나 신의 사랑을 위해, 당신 자신과 당신의 노하우에 대해 확신하지 않는다면, 당신이 묘사하고있는 것을하지 마십시오.

미러링 및 보안 관련 업데이트

소프트웨어 모니터링 (FreeBSD에서는 pf 또는 tcpdump), 허브 사용, 관리 / 스마트 스위치 사용 등 3 가지 옵션이 있습니다.

소프트웨어 사용 비록 당신이 브릿지를 가지고있다하더라도 FreeBSD가 설치된 OS에 존재하더라도 FreeNAS의 GUI에서는 기능이 아니기 때문에 CLI에서 패킷 미러링이나 (FreeNAS를위한) 패킷 캡처를 설정해야합니다. 따라서 어려운 일이 아니더라도이를 수행하는 방법에 대한 통찰력이 필요합니다. pf.conf 옵션을 사용하여 FreeBSD에서 포트 미러링을 수행 할 수 있습니다. dup-to, 또는 tcpdump 거의 항상 내장되어있어 트래픽을 탭하고 복제하거나 파일로 캡처 할 수 있지만 세부적인 내용은 알지 못합니다. 그것들은 그것을 할 수있는 방법이 될 것입니다. 위에서 언급 한 보안 문제로 인해 그렇게하지 않을 것입니다.

오래된 소비자 네트워크 바퀴통 ( "스위치"가 아님!) 흙이 싸고 일할 수도 있지만, 보안 문제로 인해 그 길로 가지 않을 것입니다. 허브의 본질은 거울입니다. 모든 교통 모든 포트. 케이블 [모뎀 - & gt; 허브 - & gt; 라우터]를 선택하면 모든 장치가 수신 대기 할 수 있습니다.하지만 두 가지 이유 때문에 허브를 사용할 수는 없습니다. 먼저 허브가 구식이며 수신하기가 어려울 수 있지만 더 중요한 것은 스누핑 할 수 있으면 감지 할 수 있고 아마도 외부에 직접 연결되어 라우터를 우회하기 때문에 해킹 / 침투 될 수있는 약점이 생겼을 것입니다. 그래서 필자는 이것이 완벽을 기하기 위해 언급 한 것이지 반드시 좋은 생각이기 때문이 아닙니다!

에이 관리 된 스위치 NAS에서 트래픽을 격리하고 작업을 위해 설계 되었기 때문에 작은 것이어야합니다. 작은 스마트 스위치는 EBay 등에서 매우 저렴합니다. 내가 말했듯이, 수년이 지난 후에도 마찬가지입니다. 하지만 허브에 준 것과 정확히 같은 이유 때문에 보안 구성이 설정되어 있는지 확인하고 신중하게 보안을 확인하거나 고려해야합니다. 아마도 미러 포트는 본질적으로 안전하도록 설계되었으므로 필요한 모든 것이 있습니다. 그러나 그에 대해 더 많이 말하면 될 것입니다. WAN 모니터링 (트래픽 미러링)에만 사용되며 라우터 또는 방화벽에 의해 보호되지 않는 WAN에 연결된 관리 대상 스위치 포트를 보호하는 방법에 대해 별도로 질문 할 수 있습니다. infosecurity 스택 교환이 도움이 될 수 있습니다.


환상적인 대답! 고맙습니다! 때로는 물어 봐야 해. 만약 좋은 생각이 아니라는 것을 알고 있더라도 무언가를 할 수 있습니다.
Yoshiyahu

나는 pfSense를 사용하고 그것을 철저히 권합니다. "설정하고 잊어라", 확장 가능, 견고한 고체, 적극적으로 개발 된 / 대규모 커뮤니티, BSD는 Linux 기반이 아닙니다 (아마도 더 강력합니까?), 장기 /시기 적절한 성숙도 + 기능 업데이트. "그냥 일한다". pfSense는 일반 라우터 스케일 / 기능에 대해 펜티엄 3 또는 4 이상을 필요로하지 않지만 가까운 미래에 Sandy Bridge 이상으로 칩 수명을 제한하는 AES-NI 지침을 필요로합니다. 또한 미러링이 부족합니다. 가장 저렴한 Nehand LGA1155 / 6 CPU + 보드, 2 번째 및 예비 / 미러 포트, 2GB RAM 및 4GB + ssd / hdd를위한 값싼 이중 포트 Intel NIC 카드를 가져와 즐기십시오!
Stilez

필자는 더 많은 정보로 답변을 업데이트했습니다. 미러링이 필요하다면 FreeBSD에서 가능하지만, 왜 스스로 힘들게 만들고 변경 사항을 지우는 위험 요소가 있는지 확인하십시오. EBay에서 저렴한 오래된 관리 형 / 스마트 형 스위치 (넷기어, 시스코 또는 다른 것)를 얻으십시오. 거의 모든 것이 GUI 웹 컨트롤과 포트 미러링을 내장 할 것입니다 (먼저 확인하십시오!). 그리고 네, 동의합니다 :)
Stilez
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.