Howto Isolar um computador da minha rede usando um bilhão 7800n e um prompt busybox

Question

Howto Isolar um computador da minha rede usando um bilhão 7800n e um prompt busybox

#1 resposta do (0 votos)

0

Meu único roteador é um bilhão de 7800n conectado à internet usando a porta ewan. Eu tenho 4 computadores conectados a ele 2 com fio e 2 usando wifi. Eu quero isolar uma das portas com fio de ver os outros computadores, mas eu ainda quero que todos eles acessem a internet. Parece impossível configurar usando o web gui, mas eu posso acessar um prompt busybox. Qualquer sugestão sobre como eu faria isso.

Obrigado Dan

networking router busybox vlan

por Dan Harris 24.10.2013 / 12:01

1 resposta

Tags networking router busybox vlan

Dosbox USB print Windows 8.1 64Bit Como alguém pega um MPEG4 / MP3 AVI e o encapsula em MP4?

score 0 · Answer 1

Você terá que usar o iptables. Vamos supor que seu roteador seja 192.168.1.1, seus clientes normais sejam 192.168.1.2-4 e o que você deseja isolar seja 192.168.1.100. Então as seguintes regras serão:

iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.2 -j DROP
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.3 -j DROP
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.4 -j DROP

Em linha de princípio, isso deve ser suficiente. Mas se a pessoa que usa 192.168.1.100 tiver acesso (mesmo físico!) Às outras máquinas, pode fazer sentido evitar o estabelecimento de túneis reversos, caso em que adicionaria essas regras:

iptables -A FORWARD -s 192.168.1.2 -d 192.168.1.100 -j DROP
iptables -A FORWARD -s 192.168.1.3 -d 192.168.1.100 -j DROP
iptables -A FORWARD -s 192.168.1.4 -d 192.168.1.100 -j DROP

Existem duas condições para isso funcionar: primeiro, é essencial que as comunicações através do 192.168.1.100 passem pelo roteador. Em outras palavras, você deve conectar o 192.168.1.100 ao roteador, não a um comutador. Se você conectá-lo a um switch, uma vez que é tráfego interno, o switch será capaz de encaminhar as tentativas de comunicação de 192.168.1.100 para os outros PCs conectados ao switch sem passar pelo roteador, ou seja, diretamente, e os comandos acima nunca será aplicado. Em segundo lugar, os computadores devem sempre ter os mesmos endereços IP; Você pode conseguir isso com IPs estáticos ou com IPs reservados, um recurso que é definido na GUI do roteador.

EDITAR:

De acordo com Wikipedia ,

In computer networking, a single layer-2 network may be partitioned to create multiple distinct broadcast domains, which are mutually isolated so that packets can only pass between them via one or more routers; such a domain is referred to as a Virtual Local Area Network, Virtual LAN or VLAN.

Uma situação em que "os pacotes só podem passar entre eles através de um ou mais roteadores" é exatamente o que acabei de descrever. A única diferença é 192.168.1.100 seria capaz de interceptar o tráfego de transmissão. Não há muito uso para isso aqui, mas eu ainda posso alterar as regras do iptables de tal forma a obter esse efeito, se você quiser. Caso contrário, a solução que descrevo acima é idêntica à que você está se referindo em seu comentário.