Tengo mi propia computadora con Windows 7 y otra computadora con Ubuntu Server 12.0.4. Actualmente, si tengo algo ejecutándose en Windows 7 (como, por ejemplo, Tomcat), puedo acceder a él en Ubuntu usando la IP del enrutador (algo así como 192.168.0.x) y viceversa. ¿Cómo haría para que el cuadro de Windows 7 pudiera acceder al cuadro de Ubuntu pero el cuadro de Ubuntu no pudiera acceder al cuadro de Windows 7? Básicamente, quiero permitir que Ubuntu Box acceda a Internet pero no a las otras computadoras detrás del enrutador.
Intenté configurar una regla de firewall en el cuadro Win7 (usando el Firewall de Windows) que tenía un alcance de direcciones IP locales de mi cuadro Ubuntu (192.168.0.6) y seleccioné Bloquear conexión, pero eso no pareció hacer una diferencia.
Respuesta1
Si el servidor Ubuntu debe alojar servicios (por ejemplo, un servidor web o Tomcat) y esos servicios deben ser accesibles desde Internet, entonces debe crear una Zona DesMilitarizada (DMZ).
https://en.wikipedia.org/wiki/DMZ_%28computing%29
El servidor se ubicará en la DMZ. Dependiendo del firewall y de la configuración de reenvío de puertos, es posible conectarse a hosts dentro de la DMZ desde Internet. Los hosts en la DMZ no pueden conectarse a hosts en la red interna. Los hosts dentro de la red interna pueden acceder a hosts dentro de la DMZ y en Internet.
Si un atacante pudiera comprometer el servidor dentro de la DMZ, el atacante no podrá conectarse directamente a los hosts de la red interna. Por supuesto, esto depende de la configuración. Y el atacante aún puede intentar comprometer los hosts de la red interna cuando estos establecen conexiones a servicios en el servidor DMZ comprometido.
Algunos enrutadores proporcionan una funcionalidad DMZ que se puede habilitar en la interfaz de configuración.
Respuesta2
Si solo desea restringir el acceso de Ubuntu a otras cosas, entonces puede buscar en iptables donde el paquete está en eth... saliente a 192.xx0 y el estado es nuevo -j DROP.
Esa no es la sintaxis exacta, pero debería darle una idea general. El firewall descarta todos los paquetes nuevos que salen de Ubuntu a la red local. debe especificar su enrutador -j ALLOW justo antes de esta regla para poder enviar siempre tráfico nuevo a Internet. Dado que solo bloquea nuevas conexiones salientes, su Win Box no debería tener problemas para iniciar sesiones con él.
Si solo le preocupa el sistema win, coloque un firewall personal y bloquee lo que deba bloquearse. Si tiene un módem por cable decente, es posible que le permita especificar diferentes direcciones IP entre la conexión inalámbrica y la cableada para que no puedan conectarse entre sí.