iceman010-hub/homelab

# 家庭实验室 我的个人安全和自动化实验室。我使用它来练习渗透测试、网络加固和自托管，以及运行本地 AI 而无需将任何内容发送到云端。 这是一个学习环境，因此这里的任何内容都不会接触我雇主的系统或数据。我也不会公开 IP、端口或配置文件——下文的网络细节是刻意从高层级进行描述的。 ## 网络 所有内容都被划分到带有默认拒绝（default-deny）防火墙的 VLAN 中。每个网段仅获得其真正需要的访问权限，其余访问都会被阻止。 | VLAN | 网段内容 | |------|--------------| | 管理 | 设备和基础设施管理 | | 可信 | 我的主要个人设备 | | 服务器 | Proxmox 主机、NAS、DNS、核心服务 | | 实验室 | 渗透测试目标——已隔离 | | IoT | 智能家居设备，仅限互联网访问 | | 媒体 | 流媒体设备 | | VPN | 远程访问客户端 | 有几个选择值得指出： - **实验室**无法访问我的可信网络或服务器网络。如果我在测试中攻破了一台机器，它也会被限制在该网段内。 - **IoT** 设备只能访问互联网，没有其他权限。不能与我的真实机器通信。 - 实验室和 IoT 都有各自的 WiFi SSID，因此这种隔离在无线层也得以保持，而不仅仅是在有线网络上。 - 默认的 VLAN 1（即“如果配置错误，所有设备都会落入此处”的陷阱）被阻止访问所有内部子网。 这与 **CIA 三要素**完美对应：网络分段和加密的 VPN 访问涵盖了机密性，防火墙 + Suricata + Pi-hole 涵盖了完整性，而将服务分散在不同硬件上则保证了可用性。 ## 硬件和服务 **Proxmox** 运行虚拟机——Ubuntu 用于提供服务并进行测试，Parrot OS 用作安全工具包。 **NVIDIA DGX Spark** 通过 Ollama 运行我的本地 LLM。这里是“高要求”AI 工作的所在。 **Raspberry Pi 5** 负责处理较重的全天候运行任务：NAS 和 Suricata IDS。 **Raspberry Pi 4** 运行较轻的任务——Home Assistant、Pi-hole 和 WireGuard endpoint——从而无需路由器来承担这些工作。 **网络设备**采用 Alta Labs（路由器 + AP6）和一台 eero Max 7，配有自定义防火墙策略以及上述的 VLAN 设置。 ## 渗透测试 封闭实验室，使用易受攻击的虚拟机作为目标，所有活动都不会离开该网络。主要使用 Nmap、Metasploit、Burp Suite 和 Wireshark，以及 Parrot 自带的任何其他工具。 ## 关于 我是 Techni-Tool 的 IT 系统管理员，并于 2026 年 5 月完成了达拉斯学院的网络安全 AAS 学位。可以在 [LinkedIn](https://www.linkedin.com/in/noevalencia) 上找到我。

标签：AI风险缓解, CTI, Docker 部署, Metaprompt, 个人实验室, 本地大模型, 物联网, 网络安全, 网络运维, 网络隔离, 虚拟化, 请求拦截, 隐私保护