Como isolar o dispositivo em um roteador somente para Internet

Question

Como isolar o dispositivo em um roteador somente para Internet

#1 resposta do (1 votos)

0

Semelhante à maneira como o "Isolamento sem fio" funciona como um recurso nos roteadores avançados, desejo garantir que os clientes com fio não possam acessar nenhum outro membro da LAN / VLAN (mas eles devem poder acessar a Internet).

Cada uma das quatro portas físicas para dispositivos com fio foi atribuída a um ip estático (x.x.x.66 como abaixo), e cada um está em sua própria VLAN. Quero garantir que eles não consigam atingir nenhum outro dispositivo em sua VLAN.

Veja o que adicionei ao script de firewall do roteador:

iptables -I FORWARD -s 10.0.1.66 -d 10.0.1.0/24 -p all -j DROP
iptables -I FORWARD -s 10.0.2.66 -d 10.0.2.0/24 -p all -j DROP
iptables -I FORWARD -s 10.0.3.66 -d 10.0.3.0/24 -p all -j DROP
iptables -I FORWARD -s 10.0.4.66 -d 10.0.4.0/24 -p all -j DROP

Infelizmente, isso não me impede de fazer ping de, por exemplo, 10.0.1.66 a 10.0.1.116. Tudo o mais sobre minha configuração do iptables funciona como esperado.

Aqui está a saída completa do Iptables (note que br0-br3 são as VLANs):

iptables -L -n -v
Chain INPUT (policy DROP 21 packets, 2322 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  br3    *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  br3    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
    0     0 ACCEPT     udp  --  br3    *       0.0.0.0/0            0.0.0.0/0           udp dpt:67 
    0     0 ACCEPT     icmp --  br3    *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     tcp  --  br3    *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset 
    0     0 REJECT     all  --  br3    *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
    0     0 ACCEPT     udp  --  br2    *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  br2    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
    0     0 ACCEPT     udp  --  br2    *       0.0.0.0/0            0.0.0.0/0           udp dpt:67 
    0     0 ACCEPT     icmp --  br2    *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     tcp  --  br2    *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset 
    0     0 REJECT     all  --  br2    *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
    0     0 ACCEPT     udp  --  br1    *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  br1    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
    2  1152 ACCEPT     udp  --  br1    *       0.0.0.0/0            0.0.0.0/0           udp dpt:67 
    0     0 ACCEPT     icmp --  br1    *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     tcp  --  br1    *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset 
    0     0 REJECT     all  --  br1    *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
   34  2951 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
  369 49487 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    2   180 shlimit    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW 
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  102  8187 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br1    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br2    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br3    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     2    --  *      *       0.0.0.0/0            224.0.0.0/4         
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.0/4         udp dpt:!1900 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       10.0.4.66            10.0.4.0/24         
    0     0 DROP       all  --  *      *       10.0.3.66            10.0.3.0/24         
    0     0 DROP       all  --  *      *       10.0.2.66            10.0.2.0/24         
    0     0 DROP       all  --  *      *       10.0.1.66            10.0.1.0/24         
 1456  377K            all  --  *      *       0.0.0.0/0            0.0.0.0/0           account: network/netmask: 10.0.1.0/255.255.255.0 name: lan 
    6   328            all  --  *      *       0.0.0.0/0            0.0.0.0/0           account: network/netmask: 10.0.2.0/255.255.255.0 name: lan1 
    4   160            all  --  *      *       0.0.0.0/0            0.0.0.0/0           account: network/netmask: 10.0.3.0/255.255.255.0 name: lan2 
   18  1136            all  --  *      *       0.0.0.0/0            0.0.0.0/0           account: network/netmask: 10.0.4.0/255.255.255.0 name: lan3 
    0     0 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br1    br1     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br2    br2     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br3    br3     0.0.0.0/0            0.0.0.0/0           
    5   200 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
 1367  363K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 DROP       all  --  br0    br1     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br0    br2     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br0    br3     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br1    br0     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br1    br2     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br1    br3     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br2    br0     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br2    br1     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br2    br3     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br3    br0     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br3    br1     0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  br3    br2     0.0.0.0/0            0.0.0.0/0           
    3   147 wanin      all  --  vlan2  *       0.0.0.0/0            0.0.0.0/0           
  109 15477 wanout     all  --  *      vlan2   0.0.0.0/0            0.0.0.0/0           
  107 15377 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    1    60 ACCEPT     all  --  br1    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br2    *       0.0.0.0/0            0.0.0.0/0           
    1    40 ACCEPT     all  --  br3    *       0.0.0.0/0            0.0.0.0/0           
    3   147 upnp       all  --  vlan2  *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 326 packets, 202K bytes)
 pkts bytes target     prot opt in     out     source               destination

iptables

por Christian 08.10.2017 / 19:17

1 resposta

Tags iptables

Posso ter o volume do sistema mudo do MacOS se uma conexão BT quebrar por algum motivo? Lenovo Y50-70 laptop dá tela preta completamente sem resposta ao abrir determinados sites e outros tempos aleatórios

score 1 · Answer 1

Acho que você não entendeu bem as camadas da rede e como o tráfego é entregue.

O que parece que você está perdendo é que os dispositivos na mesma LAN se comunicam na camada 2. O tráfego não passará pelo roteador da camada 3, exceto quando viajar de uma rede (LAN) para outra, ele vai diretamente de um dispositivo para outro na mesma LAN, usando o endereço da camada 2 (por exemplo, MAC).

Alguns switches fornecem o tipo de isolamento desejado. Pesquise por VLANs Privadas. Você também pode criar VLANs e endereçamento separados para cada um e conectar os dispositivos a VLANs separadas. Você poderia então evitar que o tráfego na camada 3 (por exemplo, IPv4 e / ou IPv6) cruze as VLANs.