Ich habe einen eigenen PC mit Windows 7 und einen anderen Computer mit Ubuntu Server 12.0.4. Wenn ich derzeit etwas mit Windows 7 laufen habe (z. B. Tomcat), kann ich über die Router-IP (etwa 192.168.0.x) auf der Ubuntu-Box darauf zugreifen und umgekehrt. Wie kann ich es einrichten, dass die Windows 7-Box auf die Ubuntu-Box zugreifen kann, die Ubuntu-Box jedoch nicht auf die Windows 7-Box? Im Grunde möchte ich der Ubuntu-Box den Zugriff auf das Internet erlauben, aber keinen Zugriff auf die anderen Computer hinter dem Router.
Ich habe versucht, auf der Win7-Box eine Firewall-Regel einzurichten (mithilfe der Windows-Firewall), die die lokalen IP-Adressen meiner Ubuntu-Box (192.168.0.6) umfasste, und habe „Verbindung blockieren“ ausgewählt, aber das hat anscheinend keinen Unterschied gemacht.
Antwort1
Wenn der Ubuntu-Server Dienste hosten soll (z. B. einen Webserver oder Tomcat) und diese Dienste vom Internet aus zugänglich sein sollen, sollten Sie eine entmilitarisierte Zone (DMZ) einrichten.
https://en.wikipedia.org/wiki/DMZ_%28computing%29
Der Server wird in der DMZ platziert. Abhängig von der Firewall- und Portweiterleitungskonfiguration ist es möglich, vom Internet aus eine Verbindung zu Hosts innerhalb der DMZ herzustellen. Hosts in der DMZ können keine Verbindung zu Hosts im internen Netzwerk herstellen. Hosts im internen Netzwerk können auf Hosts innerhalb der DMZ und im Internet zugreifen.
Wenn ein Angreifer den Server innerhalb der DMZ kompromittieren würde, könnte er sich nicht direkt mit Hosts im internen Netzwerk verbinden. Dies hängt natürlich von der Konfiguration ab. Und der Angreifer könnte trotzdem versuchen, Hosts im internen Netzwerk zu kompromittieren, wenn diese Verbindungen zu Diensten auf dem kompromittierten DMZ-Server herstellen.
Einige Router bieten eine DMZ-Funktionalität, die in der Konfigurationsoberfläche aktiviert werden kann.
Antwort2
wenn Sie Ubuntu nur am Zugriff auf andere Dinge hindern möchten, sollten Sie in iptables nachsehen, wo sich das Paket auf eth befindet... ausgehend an 192.xx0 und der Status „neu -j DROP“ ist.
das ist nicht die genaue Syntax, sollte Ihnen aber einen allgemeinen Überblick geben. Die Firewall verwirft alle neuen Pakete, die von Ubuntu ins lokale Netzwerk gehen. Sie müssen Ihren Router direkt vor dieser Regel mit -j ALLOW kennzeichnen, damit Sie immer neuen Datenverkehr ins Internet schicken können. Da nur ausgehende neue Verbindungen blockiert werden, sollte Ihre WinBox keine Probleme haben, Sitzungen damit zu starten.
Wenn Sie sich nur um das Win-System Sorgen machen, installieren Sie eine persönliche Firewall und blockieren Sie, was blockiert werden muss. Wenn Sie über ein ordentliches Kabelmodem verfügen, können Sie möglicherweise für das drahtlose und das kabelgebundene Modem unterschiedliche IP-Adressen angeben, sodass diese nicht zueinander weitergeleitet werden können.