ルーターの背後にあるコンピューターが別のコンピューターにアクセスするのを防ぐにはどうすればよいでしょうか?

ルーターの背後にあるコンピューターが別のコンピューターにアクセスするのを防ぐにはどうすればよいでしょうか?

私は Windows 7 を実行している個人用コンピューターと、Ubuntu Server 12.0.4 を実行している別のコンピューターを持っています。現在、Windows 7 で実行されているもの (たとえば Tomcat) がある場合、ルーターの IP (192.168.0.x など) を使用して Ubuntu ボックスでアクセスできます。その逆も同様です。Windows 7 ボックスが Ubuntu ボックスにアクセスできるようにし、Ubuntu ボックスが Windows 7 ボックスにアクセスできないようにするにはどうすればよいでしょうか。基本的に、Ubuntu ボックスがインターネットにアクセスできるようにし、ルーターの背後にある他のコンピューターにアクセスできないようにしたいと考えています。

私は、Ubuntu ボックスのローカル IP アドレス (192.168.0.6) をスコープとするファイアウォール ルールを Win7 ボックス (Windows ファイアウォールを使用) に設定し、「接続をブロック」を選択しましたが、違いはないようです。

答え1

Ubuntu サーバーがサービス (Web サーバーや Tomcat など) をホストし、それらのサービスにインターネットからアクセスできるようにする場合は、非武装地帯 (DMZ) を構築する必要があります。

https://en.wikipedia.org/wiki/DMZ_%28computing%29

サーバーは DMZ 内に配置されます。ファイアウォールとポート転送の設定によっては、インターネットから DMZ 内のホストに接続できます。DMZ 内のホストは内部ネットワーク内のホストに接続できません。内部ネットワーク内のホストは、DMZ 内およびインターネット内のホストにアクセスできます。

攻撃者が DMZ 内のサーバーを侵害した場合、攻撃者は内部ネットワーク内のホストに直接接続することはできません。もちろん、これは構成によって異なります。また、内部ネットワーク内のホストが侵害された DMZ サーバー上のサービスへの接続を確立すると、攻撃者は依然としてそのホストを侵害しようとする可能性があります。

一部のルータでは、設定インターフェイスで有効にできる DMZ 機能が提供されています。

答え2

Ubuntu が他のものにアクセスするのを制限したいだけであれば、パケットが eth 上にある iptables を調べて、192.xx0 に送信され、ステータスが new -j DROP になっているかどうかを確認してください。

これは正確な構文ではありませんが、大体の考え方は伝わるはずです。ファイアウォールは、Ubuntu からローカル ネットワークに送信されるすべての新しいパケットをドロップします。このルールの直前にルーターの -j ALLOW を指定して、常に新しいトラフィックをインターネットに送信できるようにする必要があります。新しい送信接続のみをブロックするため、Windows ボックスでセッションを開始する際に問題は発生しません。

Windows システムだけが心配な場合は、パーソナル ファイアウォールを設置して、ブロックする必要のあるものをブロックします。適切なケーブル モデムをお持ちの場合は、ワイヤレスと有線の間で異なる IP を指定して、相互にルーティングできないようにすることができます。

関連情報