インターネットへの ADSL 接続、3 つのイーサネット ポート (eth1 ~ eth3)、および Wi-Fi を備えたルーターを検討します。
ルーターの eth1 に接続されているが、インターネットに接続しない Linux マシン (コンテンツ フィルタリング (ホワイトリスト - 特定の IP または IP/TCP の組み合わせまたは URL (ホワイトリスト) のみを許可し、その他はすべてブロック) を実行する) があるとします。このマシンは ADSL インターネット接続へのアクセスを永久に防止できますか。方法は?
eth2 と eth3 に他の 2 台のマシンがあり、おそらく Wi-Fi 経由でさらに多くのマシンが存在する可能性があることを考慮してください。
ルータを設定して、eth2、eth3、およびすべての WiFi 接続ノードからのすべてのトラフィック (生の物理層パケット) を eth1 に中継し、eth1 は許可されたパケットをルータに転送し、残りをドロップするようにできますか。ルータは、eth1 からのすべてのパケットに adsl (または eth2 eth3 wifi) を使用します。adsl から eth2、eth3、wifi に送信されるすべてのパケットに同様の設定が必要です (adsl から eth2、eth3、wifi へのパケットは、最初に eth1 に送信され、次にそれぞれのデバイスに送信されなければなりません)。どのようにすればよいですか。
答え1
通常、コンテンツ フィルタはプロキシ サーバーとして設定されます。つまり、クライアントに代わってインターネットに接続します。この構成では、インターネットへのアクセスをブロックするのは賢明ではありません。ブロックすると機能しなくなります。ファイアウォールのようにオンザフライでフィルタリングするのでなければ、コンテンツ フィルタから発信されたパケットをドロップするというルールを追加できます。また、ほとんどの家庭用ルーターとすべての商用ルーターでは、特定の IP を送信元とするパケットをドロップできます。
問題のルーターが家庭用ルーターの場合、eth1 - eth3 と wifi はすべてブリッジされます。つまり、それらは同じレイヤー 2 ネットワークを形成し、通常、それらを個別のポートとして扱い、ルーティング決定を個別に適用する方法はありません。
この場合、ネットワークのデフォルト ゲートウェイをコンテンツ フィルターにする必要があります。これにより、ルーターに接続されているすべてのデバイスからのすべてのトラフィックがコンテンツ フィルターにプッシュされます。通常、家庭用ルーターではこれを行うことはできませんが、ルーターの DHCP サービスを無効にして、コンテンツ フィルターに DHCP サービスを設定できます。
コンテンツ フィルタのデフォルト ゲートウェイはルータになります。パケットはコンテンツ フィルタの同じインターフェイスから出入りしますが、これは問題にならないことに注意してください。Linux ボックスの場合は、次の内容が/etc/sysctl.conf含まれていることを確認してください。
net.ipv4.conf.all.send_redirects = 0
これにより、パケットがインターフェイスに到着したが、同じネットワーク上の他の IP アドレス宛てである場合に、コンテンツ フィルタがルータにローカル IP アドレスに直接接続するように指示することがなくなります。あなたのケースではそうなるでしょう。
最後の部分は、すべての着信トラフィックがコンテンツ フィルターに送信されることを確認することです。ほとんどの家庭用ルーターでは、静的ルートを追加できます。内部ネットワーク範囲全体に静的ルートを追加すると (たとえば、コンテンツ フィルターの IP アドレスに送信される 192.168.0.0/24)、ルーターが接続されているネットワーク上のデバイスにパケットを直接送信するというルーターの自然な傾向が無効になります。代わりに、着信はすべてコンテンツ フィルターに送信されます。