安全地将不安全的设备添加到我的家庭网络

Question

我有一些连接互联网的设备，我不相信它们是安全的，但无论如何我都想使用（智能电视和一些现成的家庭自动化设备）。我不希望它们与我的计算机在同一个网络上。

我目前的解决方案是将我的电缆调制解调器插入交换机并将两个无线路由器连接到交换机。我的电脑连接到第一个路由器，其他一切连接到第二个路由器。

这足以将我的计算机与其他所有东西完全隔离吗？

另外，是否有使用单个路由器的更简单的解决方案可以有效地做同样的事情？我有以下路由器，都带有DD-WRT：

• 网件WNDR3700-v3

• Linksys WRT54G-v3

所有设备（安全和不安全）都以无线方式连接，安全网络上的单台计算机除外。

Answer 1

是的，您的解决方案也可以，但会增加一个交换跃点，加上配置开销，您可以通过执行以下操作使用一台路由器实现此目的：

• 配置两个 VLAN，将可信主机连接到一个 VLAN，将不可信主机连接到另一个。
• 将 iptables 配置为不允许可信流量到非可信流量（反之亦然）。

希望这可以帮助！

Answer 2

这完全有可能，但我想先解决一些问题。

我目前的解决方案是将我的电缆调制解调器插入交换机并将两个无线路由器连接到交换机。我的电脑连接到第一个路由器，其他一切连接到第二个路由器。

有趣的是，当您的电缆调制解调器看起来只是一个调制解调器时，两个路由器都可以访问互联网。你的 ISP 做 NAT 吗？如果没有，我建议将交换机取出（它真的是交换机还是交换机能够进行 NAT？），并将其中一个 DD-WRT 路由器作为网关。您当前的设置（不知道路由器连接到哪个端口）可能存在 IP 地址冲突，或者偶尔会在一个或另一个网络上遇到随机和零星的连接丢失。

是否可以在单个接入点上将 Wi-Fi 流量隔离到多个 VLAN 中？

是的，但这需要一些配置工作和一些测试。我自己使用类似的设置来隔离访客网络。我将在下面描述的方法不涉及 VLAN。

DD-WRT（等等）支持在同一个 AP 上创建多个 SSID。唯一需要做的就是创建另一个网桥，将其分配给不同的子网，然后将其与主网络的其余部分隔离。

我上次这样做已经有一段时间了，但它应该像这样（准备好失去连接）：

1. 打开接入点的配置页面
2. 转到无线 => 基本设置
3. 在虚拟接口下单击添加[^virtif]
4. 给你的新物联网的SSID名称，并留下Network Configuration来 Bridged，让AP Isolation你的愿望
5. 转到选项卡无线安全，设置密码，并尽可能将安全模式设置为 WPA2-Personal-AES[^nDS]
6. 转到选项卡设置 => 网络
7. 在桥接下，单击添加
8. 给你的桥一个任意名称[^brname]，也许br1？
9. 为您的网桥提供一个与您的主网络不在同一子网上的 IP 地址[^ipaddr]
10. （您可能必须单击保存然后应用设置才能显示此设置）在分配给桥接下，单击添加，然后分配br1给接口 wl.01或其接口名称[^virtif]，保存并应用

11. 在多个 DHCP 服务器下，单击添加并将其分配给 br1

12. 转到 Administration => Commands 并粘贴这些（您可能需要调整接口名称）[^note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
    然后单击 Save Firewall

13. 你应该准备好了，我想

更多详情，可以查看 http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

需要注意的是，此设置仅对网关路由器/AP 有效。如果您希望相同的设置适用于其他路由器，则必须使用 VLAN。设置类似，但涉及更多。这里的区别在于，您必须配置新 VLAN 并将其桥接到 IoT SSID，并且可能需要执行一些路由规则。

[^virtif]：第一个通常是物理接口，通常标记为 wl0。您的虚拟接口（如果我没记错的话最多三个）将被标记为 wl0.1、wl0.2 等等。

[^brname]：这将是 DD-WRT 提供给桥接接口的接口名称。

[^ipaddr]：假设你的主网在 172.16.1.0/24，给br1一个地址 172.16.2.0/24。

[^nDS]：如果您有 Nintendo DS，则必须使用 WEP。或者，您可以为 NDS 创建另一个 SSID，并将其桥接到br1以方便使用。

[^note1]：此时应用设置后，任何连接到 IoT SSID 的内容现在都将分配到不同的子网。但是，这两个子网仍然可以相互通信。

[^note2]：这一点可能需要一些工作。

Answer 3

这足以将我的计算机与其他所有东西完全隔离吗？

假设您从路由器 1 到交换机的连接正在使用WAN路由器的端口，并且您没有在 OpenWRT 中共享 WAN 和 LAN（这意味着您没有像直接连接到调制解调器时那样更改默认设置和布线），你大部分都很好。

当然，您在路由器 2 上的设备可能会向任何人发送流量，这本身就是一个问题（使用统计数据、相机图像、麦克风声音、有关 WLAN 的信息、GPS 接收器等，具体取决于设备）。

另外，是否有使用单个路由器的更简单的解决方案可以有效地做同样的事情？我有以下路由器，都带有 DD-WRT：

您可以单独配置您的端口，并将不良流量与良好流量分开路由。您的关键字是DMZ，有很多可用的教程。

如果你想要更复杂，你也可以启用 VLAN，这样你就可以在路由器后面放置额外的 VLAN 感知设备并将两种类型的设备连接到它们，基本上让你的整个家就像每个设备都直接插入两个路由器之一的端口，即使您只有一个路由器和它后面的 5 个交换机以菊花链方式连接...在使用星型拓扑时几乎没有，在必须使用环形拓扑时非常好）。

Answer 4

一些消费级 Wi-Fi 路由器具有“访客模式”，即从正常网络中分离出来的网络。

您可以将不受信任的设备限制为“访客” AP。

并不是每个具有该功能的路由器都特别安全。

尽管文章警告：许多 Wi-Fi 路由器上的“访客模式”不安全谈论不安全，但他们讨论的主要缺陷是隐私。如果您不关心您的网络电视是否正在打电话告诉制造商您正在观看什么，那么谁在乎邻居是否在观看它。