共计 2674 个字符,预计需要花费 7 分钟才能阅读完成。
背景
近些时日,易雾君忙着对家庭内网构造做了番大调整,kvm 虚机尽全力向 lxc 容器转化,区域划分明确,规定好互相拜访控制策略,并且让动静减少网络节点提供了便当,使整个网络的治理有章可循,重点解决了跨设施的网络隔离问题。
区域划分
依据后期很长一段时间对家庭网络的实际,易雾君初步对内网划分了 9 个区域如下:
| 区域中文名称 | 区域英文名称 | 区号 | 职能形容 |
|---|---|---|---|
| 网管区 | net_mgr | 00 | 搁置具备拜访全内网需要的机器,如堡垒机、资产测绘机 |
| 内网外围服务区 | internal | 01 | 内网站点服务重点汇集的区域 |
| 共享区域 | share_center | 02 | 须要给大部分区域提供服务的区域 |
| 备份区域 | backup | 03 | 搁置用于备份全网数据的资产 |
| 非军事区 | dmz | 04 | 与外网密切相关的服务区 |
| 测试区 | test_lan | 05 | 次要用于日常试验 |
| 靶场区 | vulhub_lan | 06 | 各类靶机服务 |
| 家庭无线区 | k3_lan | 07 | 连贯各设施的外围路由,同时给手机提供无线连接 |
| 虚构专网区 | vpn | 08 | 提供近程节点接入入口,同时监听一个 tcp 和 udp 端口 |
网段设定
网段的设定也要思考到有意义,比方说,先规定好每个设施有个编号,网段的第三点分位就根据设施号来定,实践可每个区可退出 256 台机器,对于家庭需要,入不敷出。
| 设施中文名称 | 设施英文名称 | 设施号 | 职能形容 |
|---|---|---|---|
| 购买的公网服务器 | vps | 000 | 提供对外拜访的站点入口,只供 CDN 接入 |
| 闲置戴尔笔记本 | prod | 001 | 主生产服务器、爬虫 |
| 树莓派 3b | pi3 | 002 | 内网网盘服务 nextcloud、kodbox 及 letsencrypt 主动续期服务 |
| 树莓派 3b+ | pi3bp | 003 | waf、外网门户、论坛、kali 终端版 |
| 日常应用台式机 | lab | 004 | 全网备份服务、试验环境、靶场、elk、爬虫等 |
| 工作用机 | think | 008 | 母机办公,虚机退出内网备用 |
| 斐讯 | k3 | 015 | 家庭外围路由 |
| 测试机器 | test-1 | 101 | 测试用机 |
| 靶场机器 | vulhub-1 | 201 | 靶场用机 |
| 虚构专网接入网关设施 | vpn | 044\045 | 负责连贯分支设施的虚构网关设施 |
机器命名标准
机器多了,治理天然麻烦了,没个命名规定,自个蛋疼去吧。当初咱们区号有了,设施号也有了,是不是能够从区号及设施号来做点文章,比方说,测试区的一台终端版 kali,易雾君想把它搁置在树莓派 3b+ 上,供 24 小时全天候,以便随时能拿到工具开整。像这样 05-003-kali 去命名机器,那么咱们就能够用 区号 - 设施号 - 名称 的形式对立命名机器,并以它为主机名。根据该规定,易雾君展现下局部命名案例如下
虚拟化选型
最大化水平应用容器也是本次改革最重要的因素之一,改革前,生产主力机器跑个 5 个 kvm 就慢的一匹,改革后,同时跑上了十几个重量级的容器,都能从容,启动工夫也晋升了一大节。如下是该机器当初的一个运行负载状况,挺拮据的,还能部署些服务,前期再扩大。
在整个家庭网经营当中,各种虚拟化都能用的上,看需要而定,易雾君的分配原则是,以 lxc 容器或 kvm 虚机为单位(具备外部独立 IP),其上对立跑 docker 服务,这就是一个外部调配的主旋律。目前除了备份机器应用了 kvm 外,其余全采纳 lxc 容器嵌套 docker 的计划,备份机应用 kvm 的起因是,需对数据分区进行加密,并依赖 proxmox 自带的备份性能仅备份加密分区到 nfs 服务器,零碎分区搁置有开机解密分区的解密文件,不参加备份。
区域访问控制设定
规定一个区域拜访二维表,右边列为源区域,上边行为指标区域,N 代表不可拜访,Y 代表可拜访,- 代表疏忽。如下表仅供参考,各位看官可依据理论状况裁剪或批改。
| 源区 \ 目标区 | extranet | net_mgr | internal | share_center | backup | dmz | test_lan | vulhub_lan | k3_lan | vpn |
|---|---|---|---|---|---|---|---|---|---|---|
| extranet | – | N | N | N | N | Y | N | N | N | N |
| net_mgr | N | Y | Y | Y | Y | Y | Y | Y | Y | Y |
| internal | N | N | Y | Y | N | Y | Y | Y | N | N |
| share_center | N | N | N | N | N | N | N | N | N | N |
| backup | N | Y | Y | Y | Y | Y | Y | Y | Y | Y |
| dmz | N | N | N | Y | N | Y | N | N | N | N |
| test_lan | N | N | N | Y | N | N | Y | Y | N | N |
| vulhub_lan | N | N | N | Y | N | N | N | Y | N | N |
| k3_lan | N | N | N | Y | N | Y | N | N | Y | N |
| vpn | N | N | Y | Y | N | Y | N | N | N | N |
动静扩大节点
本次的网络革新对立采取每一个独立设施中都要提供一个虚构路由器与家庭网关 k3 进行连贯,这里规定所有的路由节点全全搭载 openwrt 零碎,该节点路由所涵盖的网段默认纳入内网外围服务区,备用,在其上线时,利用其运算资源,对立步调。新版网络整体布局图如下。
外网访问控制
默认状况下除了家庭无线区具备外网拜访权限以外,其余所有机器默认不能拜访外网的,须要以白名单的模式退出到拜访外网需要的 ipset 清单,方可拜访外网。外网访问控制只作用在网关进口设施斐讯 k3 那里,其余所有 openwrt 路由通通对外网拜访数据包放行。
另外,可能有些家庭客户具备匿名拜访需要,如嵌套级联了好多个跳板才拜访到指标网站服务,有的间接对 tor 有需要,个别状况下会是在本地同时监听一个 socks5 代理端口和 tcp 重定向端口,socks5 端口供浏览器间接指定,而 tcp 重定向端口就是一种针对用户通明无感知的玩法,选哪种还得看集体爱好。最好是两种都部署好,易雾君在这里就只提供思路,不给具体计划了。
纳闷排解
-
树莓派上如何如何对立步调,怎么能部署 lxc,还要让它有个 arm64 版的 openwrt
- 家喻户晓,proxmox 人造具备了 lxc 和 kvm 虚拟化条件啊,当然在树莓派的 64 位操作系统装 lxc 不成问题,但要通过命令进行操作,而 proxmox 则可能通过 ui 治理,openwrt 则是易雾君在官网下载了树莓派版的镜像,对其根目录下的所有目录打包到树莓派下的 lxc 目录,如若信得过易雾君,能够拿去先看下成果,能跑起来,你再本人做份,上面贴个做好的链接
- https://pan.evling.me/s/aA95N…
- 拜访明码请到公众号
易雾山庄输出获取明码指令获取拜访明码,里边的配置文件依据本人环境改,其中 lxc.conf 放到/etc/lxc/lxc.conf
-
家庭网散布了多个分支路由节点,网络访问控制如何施行
- 所有波及网关作用的路由关卡都应该配置有区域访问控制规定,除了总的外围网关 k3(兼网络进口)外,其余分支节点路由能够对立用同一个规定,咱们能够用一个规定服务器,供这些分支路由同步 iptables 区域拜访规定,规定分两个文件,一个文件寄存主路由 k3 的规定,一个寄存分支路由的规定
结语
好了好了,很久没更了,这跟大家伙的关注热度有正关系呢,想关注更多干货,还犹豫什么呢,返回微信搜寻 易雾山庄,订阅易雾君的独家折腾记。
下篇预报:《家庭网络资产测绘》