Consigli necessari per la configurazione della rete, inclusi server Web, stampante ad aria e dispositivi esterni

Mi chiedo se qualcuno può dirmi se la seguente configurazione di rete funzionerà come richiesto e se ci sono guardie / bandiere rosse da affrontare.

Per cominciare, i requisiti: 1) un dispositivo principale che esegue un server Web dovrebbe avere accesso a Internet e una stampante aerea connessa sulla stessa rete wifi 2) altri dispositivi dovrebbero essere in grado di connettersi al server Web utilizzando un indirizzo IP interno (ovvero non via Internet) 3) gli altri dispositivi non dovrebbero avere accesso alla stampante aerea o a Internet.

Ho identificato un bel router TP-LINK economico che supporta l'uso di un dongle USB 4G per la connettività Internet, mentre apparentemente è anche in grado di bloccare l'accesso a siti Web che non sono in una lista bianca. Apprezzo il blocco dei siti Web! = Blocco di Internet, ma per ora consente di andare avanti. Sebbene questo router sia in grado di fornire una rete guest alla quale connettersi altri dispositivi, non sembra in grado di impedire che queste connessioni consentano selettivamente l'accesso a determinati indirizzi IP LAN (ovvero il dispositivo che esegue il server Web), il che significa che molto probabilmente sarà in grado di vedere AirPrinter. Ho provato qualcosa di simile sul mio router Asus a casa e in effetti fino a quando l'accesso LAN è abilitato, il dispositivo ospite in connessione può vedere la mia AirPrinter. Male!

La mia soluzione per questo è quella di aggiungere un secondo router TP-LINK in esecuzione in modalità Access Point, collegandolo al primo router, definendo un SSID diverso e quindi avendo tutti gli altri dispositivi collegati al secondo router. L'ho provato anche a casa e nel mio test, al secondo router è stato assegnato un IP sulla stessa sottorete del router principale e mentre potevo collegarmi bene tramite il mio telefono, non riuscivo a vedere l'AirPrinter a cui era collegato il router principale. Sono stato comunque in grado di connettermi al server Web in esecuzione sul router principale. Grande.

Sto davvero cercando la convalida di questo approccio, qualche suggerimento su come potrebbe essere migliorato (ad esempio attaccare il secondo router su una sottorete e quindi abilitare un percorso da esso allo specifico indirizzo IP del server Web sul router principale? ) e se esistono modi più efficaci per bloccare completamente l'accesso a Internet dal secondo router (piuttosto che solo dalla whitelist sul router principale).

Saluti

Questo approccio probabilmente non è molto sicuro, ma può impedire tentativi casuali di accedere alla stampante. Mi aspetto che mentre la stampante non può essere scansionata (perché non si trova sulla stessa sottorete dei dispositivi che la stanno scansionando), è possibile aggiungere la stampante per indirizzo IP. Molto probabilmente puoi persino trovare l'indirizzo IP eseguendo una scansione delle porte. (Potresti avere un po 'più di fortuna se inverti il ​​primo e il secondo router - IE ha la stampante e il server web dietro NAT, usa la mappatura delle porte e aggiungi percorsi al tuo router principale - che isolerà la stampante e il server web, tuttavia avrai difficoltà a limitare Internet con questa soluzione)

Un approccio più praticabile

È non banale (ma poi, qualsiasi buona soluzione a questo problema sarà non banale), ma se ottieni un router in grado di eseguire dd-wrt e flash dd-wrt su di esso, dovresti essere in grado di fare tutto ciò che sei volendo fare - di seguito è riportata una guida generale sui passi difficili -

Volete creare 2 SSIDS (reti virtuali): uno per il server e la stampante e l'altro per gli altri dispositivi. Questo è abbastanza semplice da fare: basta aggiungere interfacce virtuali nel menu Wireless-> Impostazioni di base. Si desidera che la configurazione di rete sia illimitata e che venga fornito un secondo indirizzo IP e una subnet mask al SSID principale. Non ci ho giocato, ma immagino che se lasci i dispositivi NAT disabilitati che si collegano sul secondo SSID non saranno in grado di connettersi a Internet.

Dopo averlo applicato, vai su Setup -> Networking e, nell'opzione DHCPD, aggiungi intervalli di indirizzi IP per il SSID.

Successivamente vorrai assegnare alla stampante un indirizzo IP statico: puoi farlo sulla stampante stessa oppure puoi usare Leasing statici in Servizi -> Leasing statici. Ti consigliamo di fare qualcosa di simile per il web server.

L'ultima parte, che è dove diventa un po 'complicata, è scrivere le regole del firewall per limitare l'accesso alla stampante. Ci sono alcuni modi per farlo. Non ho giocato con questo metodo, ma il metodo più semplice è probabilmente quello di scrivere le regole appropriate in amministrazione -> comandi. L'idea qui è di scrivere una regola che consenta l'accesso al server e al router (in modo che i client possano effettuare ricerche DNS) dal secondo SSID. Esistono molti modi per farlo che saranno leggermente diversi a seconda della configurazione, ma stai cercando di aggiungere regole come:

/sbin/iptables -I FORWARD -s SSID2.IP.RANGE netmask SSID.IP.NETMASK -j DROP
/sbin/iptables -I FORWARD -s SSID2.IP.RANGE -d IP.ADDR.OF.SERVER -j ACCEPT