Dodatkowe komputery w sieci z dostępem tylko do internetu

Witam, pisałem już o tej sprawie w dziale "Co kupić", ale mam już kandydata. Potrzebuję potwierdzenia moich ustaleń.

Jest mała domowa sieć LAN (Windows) z dostępem do internetu. Chcę do niej podłączyć kablowo 2 komputery (sąsiadów), które mają mieć dostęp jedynie do internetu. Więc najlepiej postawić jakiś firewall. Czy Edimax BR 6204WG wystarczy? Ma on takie ekrany jeśli chodzi o firewall:


Dodatkowe informacje z instrukcji:
Jeśli chcesz ograniczyć użytkownikom dostęp do aplikacji/usług Internetowych (np. strony Internetowe, email, FTP, itd.), to jest to właściwe miejsce do
przeprowadzenia konfiguracji. Access Control umożliwia użytkownikom zdefiniowanie typu trafiku dozwolonego w twojej sieci LAN. Możesz kontrolować, który klient PC może mieć dostęp do usług.

Istnieje tam także możliwość ręcznego blokowania portów UDP i TCP. Nie wystarczy zablokować tym komputerom portów, których używa udostępnianie Windows?

Czy takie urządzenie umożliwi zablokowanie tych komputerów przed moją siecią lokalną? Czy może myśleć o innym urządzeniu? Postawienie komputera PC jako firewalla odpada ze względu chociażby na brak miejsca. Czy może lepiej użyć innego urządzenia? Nie muszę chyba dodawać, że budżet jest ograniczony.

Edit: nie zależy mi na WiFi, ale generalnie też nie przeszkadza. Znalazłem jeszcze takie urządzeniekrótki opis:
Router bezprzewodowy DI-524 wyposażony jest w zaawansowane funkcje filtrowania i kontroli przesyłanych danych (blokowanie dostępu do określonych adresów IP i domen oraz ograniczanie dostępu ze względu na adres MAC) oraz wbudowaną zaporę firewall SPI z możliwością przepuszczania tuneli VPN. Urządzenie może także pełnić funkcję cztero-portowego przełącznika (switch`a) 10/100Mbps.

Moim skromnym zdaniem jest to słabe zabezpieczenie bo można sobie zmienić adres mac.

Jeśli byłaby funkcja zezwalania tylko określonym adresom mac na propagację pakietów smb to byłoby lepiej ale nie znam takiego urządzenia w segmencie urządzeń domowych.

Najlepiej byłoby schować się za drugim firewallem ale to pewnie z powodu kosztów nie do przyjęcia. Poszukaj też jakiegoś softwarowego firewalla - może jest taki który umożliwia to o czym pisałem w poprzednim akapicie.

Do udostępniania plików w swojej sieci użyj Windows w wersji Professional albo Linuksa. Pozwoli to na zabezpieczenie hasłem. W Windows Home też podobno można to osiągnąć ale w dość karkołomny sposób.

Wystrzegaj się DLinków, kup sobie Linksysa TPlinka, ale nie to badziewie jak do tego będziesz miał Viste to masz podwójne nieszczęście.
Co do zabezpieczania jeśli to ma być tylko po mieszkaniu i 2 kompy od sąsiada to po co chcesz zabezpieczać LAN? Jeżeli sąsid nie będzie dalej tego udostępniał to niema sensu. Zabezpiecz tylko WIFI hasłem i problem z głowy.
Jak ktoś chciałby się włamać to i tak się włamie.

biszkopt napisał:

Moim skromnym zdaniem jest to słabe zabezpieczenie bo można sobie zmienić adres mac.

Jeśli byłaby funkcja zezwalania tylko określonym adresom mac na propagację pakietów smb to byłoby lepiej ale nie znam takiego urządzenia w segmencie urządzeń domowych.

Można na stałe przypisać MAC do IP, wtedy obcy MAC adres nie otrzyma IP wcale,

biszkopt napisał:

Do udostępniania plików w swojej sieci użyj Windows w wersji Professional albo Linuksa. Pozwoli to na zabezpieczenie hasłem. W Windows Home też podobno można to osiągnąć ale w dość karkołomny sposób.

Nie chcę zakładać haseł na komputerach domowych.

Dodano po 4 [minuty]:

Grzegorz_504677147 napisał:

Wystrzegaj się DLinków, kup sobie Linksysa TPlinka, ale nie to badziewie jak do tego będziesz miał Viste to masz podwójne nieszczęście.
Co do zabezpieczania jeśli to ma być tylko po mieszkaniu i 2 kompy od sąsiada to po co chcesz zabezpieczać LAN? Jeżeli sąsid nie będzie dalej tego udostępniał to niema sensu. Zabezpiecz tylko WIFI hasłem i problem z głowy.
Jak ktoś chciałby się włamać to i tak się włamie.

Mamy w domu komputery bez hasła, wtedy można bez problemu przeglądać ich udostępnioną zawartość, nie chciałbym tego zmieniać. Nie chodzi mi o zabezpieczenia antyhackersie, tylko aby nie dało się wejść domorosłym informatykom.

Linksys WRT54GC v3 ma firewall opisany tak:

1. możliwość blokady: proxy, apletów Java, cookies, ActiveX,
2. funkcja Block WAN request - router ani hosty za nim udostępnione nie odpowiadają na wywołania ICMP (m. in. pingi), nie są pokazywane otwarte porty TCP/UDP,
3. wykrywanie ataków Ping of Death, SYN Flood, Land Attack, IP Spoofing, DoS (Denial of Service) - możliwość tworzenia polityk dostępu do Internetu (10 wpisów) określających:
1. hosty których dana reguła dotyczy / nie dotyczy (8 adresów MAC, 6 adresów IP, 2 zakresy adresów IP),
2. kalendarz i czas działania danej reguły,
3. zabronione frazy w adresie URL stron WWW (4 wpisy),
4. zabronione słowa kluczowe stron WWW (6 wpisów),
5. zablokowane usługi - 4 wpisy określające usługi lub dowolnie zdefiniowane zakresy portów TCP/UDP
6. informowanie administratora o atakach DoS poprzez e-mail,

Więc po tych zablokowanych usługach lub definicjach dostępnych portów można będzie oddzielić tamte komputery od LAN? A czy do www i podstawowego VOIP-a (Skype) nie wystarczy udostępnienie portu 80? Ewentualnie jeszcze porty email i FTP.

Tonyx napisał:

Można na stałe przypisać MAC do IP, wtedy obcy MAC adres nie otrzyma IP wcale,

A jak sobie ustawi IP ręcznie?

Tonyx napisał:

Więc po tych zablokowanych usługach lub definicjach dostępnych portów można będzie oddzielić tamte komputery od LAN? A czy do www i podstawowego VOIP-a (Skype) nie wystarczy udostępnienie portu 80? Ewentualnie jeszcze porty email i FTP.

Firewall nie ma nic do sieci lokalnej. On blokuje dostęp od/do Internetu (a konkretnie portu WAN) więc możesz zamknąć wszystkie porty a sąsiad jeśli będzie w tej samej podsieci LAN widzi wszystko co masz udostępnione bez hasła. Właśnie po to są hasła dostępu na serwerach
Jeszcze coś mi przyszło do głowy. Poczytaj sobie o sieciach VLAN: http://pl.wikipedia.org/wiki/VLAN. Mam router Linksys WRVS4400N który to obsługuje ale nie bawiłem się tym więc nie wiem jak dokładnie działa.

biszkopt napisał:

Tonyx napisał:

Można na stałe przypisać MAC do IP, wtedy obcy MAC adres nie otrzyma IP wcale,

A jak sobie ustawi IP ręcznie?

W podobnych routerach można przypisać IP na stałe do MAC adresu. Nie udało mi się potwierdzić, czy w tym tak się da na pewno.

biszkopt napisał:

Tonyx napisał:

Więc po tych zablokowanych usługach lub definicjach dostępnych portów można będzie oddzielić tamte komputery od LAN? A czy do www i podstawowego VOIP-a (Skype) nie wystarczy udostępnienie portu 80? Ewentualnie jeszcze porty email i FTP.

Firewall nie ma nic do sieci lokalnej. On blokuje dostęp od/do Internetu (a konkretnie portu WAN)

No, ale moja sieć będzie za WAN tego routera To nie pomoże?

biszkopt napisał:

Jeszcze coś mi przyszło do głowy. Poczytaj sobie o sieciach VLAN: http://pl.wikipedia.org/wiki/VLAN. Mam router Linksys WRVS4400N który to obsługuje ale nie bawiłem się tym więc nie wiem jak dokładnie działa.

Poza budżetem

Tonyx napisał:

biszkopt napisał:

Tonyx napisał:

Można na stałe przypisać MAC do IP, wtedy obcy MAC adres nie otrzyma IP wcale,

A jak sobie ustawi IP ręcznie?

W podobnych routerach można przypisać IP na stałe do MAC adresu. Nie udało mi się potwierdzić, czy w tym tak się da na pewno.

Nici z ręcznego wpisywania adresów skoro router będzie dawał adresy po DHCP. Jak wpisze ręcznie sobie inny adres IP to i tak ma nadal swój mac adres. W moim przypadku Linksys WRT54GL z ustawionym DHCP i mac bind nie mam dostępu do sieci jeśli w którymś z komputerów wklepię adres IP z palca.

Mam taką myśl, że można to przecież inaczej załatwić. Konta użytkowników z ograniczeniami na komputerach i wyłączyć całkowicie usługi udostępniania plików i drukarek w Windows. Internet będzie ale sieć lokalna nie. Ograniczony użytkownik nie włączy usług w systemie i nici z sieci lokalnej.

Inna metoda to jak podał biszkopt Samba server i zabezpieczenie hasłem.