我的 ER605 路由器有一个辅助网络,用于隔离连接的设备(树莓派)。我用它来隔离和扫描来自可疑来源的传入文件(例如我姻亲的计算机永远受到恶意软件的影响)。我需要能够访问 pi 并将扫描的文件渗透到我的主网络。我计划使用 VNC 进行访问,并通过 SMB 共享将确定的文件直接放在我的 QNAP NAS 上。
ACL 规则 5 阻止从隔离网络到我的主网络的通信。为了让 VNC 从我的主网络连接到我的隔离 pi,我最初添加了规则 4,但这是不够的(在线阅读建议我需要一个用于返回消息的 ACL),因此我添加了引用 VNC 服务的规则 3 的版本,并且还是失败了。一时兴起,我尝试创建 VNC_duplex 服务定义,该定义交换源端口和目标端口,并将规则 #3 从 VNC 服务更改为 VNC 双工,并且 viola VNC 工作了!
我很高兴这能起作用,但我不确定为什么,或者它是否安全。我是否正确理解 ACL 规则 3 允许恶意脚本从树莓派上的任何端口向我的主网络上任何设备上的端口 5900 发送消息?理解这一点的语义方式是什么?它可以变得更安全吗?
我的网络和 VLAN:
我还设置了一些 IP 范围来描述我想要分段/授予访问权限的网络区域:
我的服务类型(最后四种是我自定义输入的):
最后是我的 ACL:
