[LAN-кабель выходит в подъезд, как обезопасить?]

21 hours ago, IgaX said:

потому что основной изъян в том, что "фотоальбом" на фтп без шифрования уязвим

У пользователя, от лица которого камеры логинятся на FTP, есть права только на STOR, но не на DELETE.

1 hour ago, KorDen said:

А, ну еще вариант "шарахнуть в патчкорд 220" как наименее изощренный.

Этот вариант не рассматриваем - WAN-кабель от провайдера тоже открытым образом, в принципе, проложен - где вы в российских условиях видели хорошо запертые кабель-каналы?

[LAN-кабель выходит в подъезд, как обезопасить?]

Да, сотня. Я на 4 этаже, камеры снимают площадку перед лифтом у первого этажа. Кабельный канал забит, поэтому кабель пришлось вести по стене по всей лестнице, спиралью. И потолки у меня в доме высокие...

На таком расстоянии линк стал устойчивым только на 10M half-duplex, но работает же.

[LAN-кабель выходит в подъезд, как обезопасить?]

Спасибо, я примерно так и думал. Только меня останавливает страх накосячить с настройкой статических IP в камерах - если что-то пойдёт не так, придётся идти за стремянкой, снимать их и тащить в дом.

Позвольте я уточню предметно, чтобы понимать нюансы.

Сейчас FTP-сервер и камеры находятся в одном и том же диапазоне локальных IP-адресов, 192.168.100.x

Кинетик имеет адрес 192.168.100.1, FTP-сервер - 192.168.100.100, камера - 192.168.100.246. 

Предположим, я выведу камеры в отдельный сегмент 192.168.200.* без DHCP и NAT и настрою на получение статических адресов. Камере присвою адрес 192.168.200.246. В поле default gateway IP-настроек камеры я всё ещё буду указывать старый IP-адрес Кинетика 192.168.100.1 или же адрес в новом сегменте, 192.168.200.1?

FTP-клиент камер настроен на то, чтобы складывать фото на FTP-сервер с IP 192.168.100.100  - эта настройка останется неизменной?

Спасибо за ваши ответы.

 

[LAN-кабель выходит в подъезд, как обезопасить?]

(Во-первых, хочется выразить признательность этому ресурсу за тестовую прошивку - она решила проблемы работы моего Omni II с московским Ростелекомом, которые выражались в потере пакетов).

У меня немного нестандартная конфигурация домашнего интернета. В подъезде стоят две довольно тупые китайские Ethernet-камеры, которые реагируют на движение и складывают снимки на ФТП на одном из компьютеров локальной сети с фиксированным IP-адресом. То есть у меня от Кинетика в подъезд тянется сто метров провода. И мне немного сцыкотно, что кто угодно может вытащить этот провод, воткнуть себе в ноутбук и залезть ко мне в домашнюю локалку.

Как мне сделать так, чтобы

• к определённому LAN Ethernet-разъёму Кинетика (№1) имели доступ только два устройства с конкретными MAC-адресами?
• чтобы устройства, подключённые к этому физическому порту имели доступ только к одному IP-адресу локальной сети (ФТП-серверу 192.168.100.100, на который камеры складывают свои фото)?
• при этом бы хотелось иметь доступ к вебинтерфейсу камер для управления ими из LAN.

Буду благодарен за идеи и советы. Спасибо!

 

 

Spoiler

Подробнее о системе - Keenetic Omni II, Версия NDMS v2.08(AAUS.0)A11, конфигурационный файл выложен на http://pastebin.com/13TN5sDb Провайдер - Ростелеком-Онлайм Москва, доступ через WAN-порт без авторизации, VPN и прочего.

Роутер имеет 4 порта LAN, кабель в подъезд подключён в порт №1, к портам №№ 2 - 4 подключены рядовые устройства в квартире, включая FTP-сервер  со статическим IP 192.168.100.100.

MAC-адреса камер - 00:0d:c5:d0:47:f5 (192.168.100.243) и 00:0d:c5:d0:47:e2 (192.168.100.246)