Come isolare un computer dalla mia rete usando un miliardo di 7800n e un prompt di busybox


0

Il mio unico router è un miliardo di 7800 n connessi a Internet tramite la porta Ewan. Ho 4 computer collegati ad esso 2 cablati e 2 tramite wifi. Voglio isolare una delle porte cablate dal vedere gli altri computer, ma voglio comunque che tutti accedano a Internet. Sembra impossibile configurare usando la GUI Web ma posso accedere a un prompt di busybox. Qualche suggerimento su come lo farei.

Grazie Dan

Risposte:


0

Dovrai usare iptables. Supponiamo che il tuo router sia 192.168.1.1, i tuoi client normali siano 192.168.1.2-4 e quello che vuoi isolare sia 192.168.1.100. Quindi faranno le seguenti regole:

iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.2 -j DROP
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.3 -j DROP
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.4 -j DROP

In linea di principio questo dovrebbe essere sufficiente. Ma se la persona che utilizza 192.168.1.100 ha accesso (anche fisico!) Ad altre macchine, potrebbe avere senso impedire l'istituzione di tunnel inversi, nel qual caso aggiungerei queste regole:

iptables -A FORWARD -s 192.168.1.2 -d 192.168.1.100 -j DROP
iptables -A FORWARD -s 192.168.1.3 -d 192.168.1.100 -j DROP
iptables -A FORWARD -s 192.168.1.4 -d 192.168.1.100 -j DROP

Esistono due condizioni affinché ciò funzioni: in primo luogo, è essenziale che le comunicazioni attraverso 192.168.1.100 passino attraverso il router. In altre parole, è necessario collegare 192.168.1.100 al router, non a uno switch. Se lo si collega a uno switch, poiché si tratta di traffico interno, lo switch sarà in grado di inoltrare i tentativi di comunicazione da 192.168.1.100 agli altri PC collegati allo switch senza passare attraverso il router, cioè direttamente e i comandi sopra non verrà mai applicato. In secondo luogo, i pc devono avere sempre gli stessi indirizzi IP; puoi farlo sia con IP statici, sia con IP riservati, una funzione impostata nella GUI del router.

MODIFICARE:

Secondo Wikipedia ,

Nella rete di computer, una singola rete di livello 2 può essere partizionata per creare più domini di trasmissione distinti, che sono reciprocamente isolati in modo che i pacchetti possano passare solo tra di loro tramite uno o più router; tale dominio viene definito rete locale virtuale, LAN virtuale o VLAN.

Una situazione in cui "i pacchetti possono passare solo attraverso uno o più router" è esattamente quella che ho appena descritto. L'unica differenza è che 192.168.1.100 sarebbe in grado di intercettare il traffico di trasmissione. Qui non mi serve molto, ma posso ancora modificare le regole di iptables in modo tale da ottenere quell'effetto, se lo desideri. Altrimenti, la soluzione che ho descritto sopra è identica a quella a cui ti riferisci nel tuo commento.


Stavo pensando più a una soluzione basata sulla porta, quindi se il computer isolato fosse sulla porta 4 non sarebbe in grado di accedere alla GUI del router o se un computer collegato alla porta solo quel computer potesse accedere alla GUI del router. Ho pensato che sarebbe stato possibile usare i Vlan ma non ne sono sicuro?
Dan Harris,

Quello che avrei dovuto dire nella mia domanda originale è che non avrò alcun controllo del computer isolato collegato al mio 7800n. Andrà al mio vicino, quindi in teoria potrebbe cambiare l'indirizzo IP. Potrei usare l'indirizzo mac ma penso solo che potrebbe esserci una soluzione migliore e più sicura usando bridge, forse Vlan, non lo so. Il fatto che le persone bancarie online probabilmente con il senno di poi lasciano una macchina non affidabile infetta da virus su una rete locale non è una buona idea. Ma per ora sono bloccato.
Dan Harris,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.