Ich suche einen Heimnetzwerk-Router, mit dem ich bestimmte Rechner vom Großteil des Internets isolieren kann, aber nicht vom gesamten. Ich möchte dies nicht nur auf der Grundlage von Portnummern tun, sondern anhand des IP-Bereichs.
Beispielsweise kann eine Windows 10-Maschine in meinem Netzwerk (192.168.4.10) über einen Proxy kommunizieren, muss aber auch auf eine Art und Weise auf das Internet zugreifen, die nicht über einen Proxy möglich ist. Zu diesem Zweck darf die Box nur eine Verbindung zu einem bestimmten IP-Bereich herstellen (z. B. abcd/16). Es wäre auch gut, wenn dies entweder auf Zulassungs- oder auf Ablehnungsregeln basieren könnte (einige Boxen haben nur Ablehnungsregeln, was bedeutet, dass Sie alles umkehren müssen und die Regeln nicht richtig kombinieren können).
Daher möchte ich im Router eine Regel konfigurieren, die wie folgt aussieht (mit iptables):
iptables -N PROXY # create proxy chain
iptables -A FORWARD --source 192.168.4.10 -j PROXY # send traffic from isolated machine to PROXY chain
iptables -A PROXY --destination 145.x.y.z/16 -j ACCEPT # allow some subnet only
iptables -A PROXY -j DROP # drop everything else (enforces proxy use)
Oder kürzer (ungetestet):
iptables -A OUTPUT --source 192.168.4.10 --destination 145.x.y.z/16 -j ACCEPT
iptables -A OUTPUT --source 192.168.4.10 -j DROP
Welche Routermarke/welcher Routertyp könnte über derartige Funktionen verfügen oder nach welchem Schlüsselwort sollte ich suchen? Die meisten, die ich mir angesehen habe, erlauben diese Art der Sperrung nur für einen bestimmten Client basierend auf „Diensten“ (d. h. einem Portbereich und einem Protokoll). Wenn sie auch einige Felder für eine IP-Maske hätten und die Ports optional wären, wäre das meiner Meinung nach für das, was ich erreichen möchte, gut genug.
Irgendwelche Ideen?