Considera también lo siguiente (también están disponibles bajo pfsense, si vas por esa ruta, pero probablemente estén disponibles en muchas otras plataformas:
Como es una red doméstica, asumo que los huéspedes la usarán. Configure 2 subredes separadas, una para uso confiable y otra para todo lo demás. Establezca reglas que detengan la red de 'todo lo demás' hablando de otra manera que no sea a la WAN, o al menos a otras ubicaciones de LAN muy limitadas. Utilice la autenticación basada en certificados no WAP2 en la red de confianza (802.1X / WPA2-enterprise), no es difícil de configurar y hace que la red sea mucho más segura ya que necesita un certificado (guardado en su dispositivo) y una contraseña, no solo una contraseña. O busque OTP (contraseña de un solo uso), que son esos pequeños tokens que cambian de forma impredecible y hacen posible el inicio de sesión de 2 factores. No confíe en la autenticación MAC, ya que puede ser falsificada. Esto levantará la barrera para las personas que intentan obtener acceso a la red sin permiso.
Pruebe su propia red: pfsense tiene nmap, utilícelo. Consulte con los escáneres de puertos en línea.
Suponga que su propia computadora portátil / dispositivo es una posible debilidad (si alguien controla que también se conecte a la red). Asegúrese de que sea seguro y use buenas prácticas allí.
Ejecuta squid + un escáner de malware basado en red, y un IDS como securicata o snort. No resolverá todo, pero detectará muchos tipos de intentos conocidos.
En cuanto a pfsense, otra idea: en lugar de múltiples enrutadores, obtenga una placa 2008 core2 (dual core o Q6600 o similar, todas son baratas) con 4 gb de ram por £ 50 / $ 75 y una pequeña (8-16 gb) ) ssd off eBay (a veces llamado "disco en el módulo"), ponga pfsense en él, y apílelo con 2-3 tarjetas de adaptador de red fuera de eBay (Intel, si puede y puede manejar vlans para cuando las necesite, la mayoría de Intel Gb las tarjetas serán). Costará menos que un enrutador OEM y manejará todo lo anterior con mucho jugo de sobra, y manejará cualquier enrutamiento y cortafuegos que pueda necesitar entre media docena de redes locales (ya sea separadas físicamente en diferentes zonas o lógicamente separados por vlans). No se preocupe por la calidad del servidor: este tipo de placa puede durar muchos años y es barato de reemplazar / arreglar la segunda mano si se usa, y no necesita un tiempo de actividad de 99.9999%.
Ideas aleatorias. Buena suerte!