Considere un enrutador con conexión adsl a internet, 3 puertos ethernet (eth1 a eth3) y wifi.
Considere que hay una máquina Linux (es decir, para filtrar contenido (lista blanca: permitir solo combinaciones o URL específicas de ip/tcp (la lista blanca) y bloquear todo lo demás)) conectada a eth1 en el enrutador, pero nunca se conecta a Internet. ¿Se puede impedir a esta máquina el acceso a la conexión a Internet ADSL de forma permanente? ¿Cómo?
Considere que puede haber otras dos máquinas en eth2 y eth3 y probablemente muchas más a través de wifi.
¿Se puede configurar el enrutador para transmitir todo el tráfico (paquetes de capa física sin procesar) de eth2, eth3 y todos los nodos conectados a wifi a eth1 y eth1 reenviaría los paquetes permitidos al enrutador y descartaría el resto de ellos? El enrutador usaría adsl (o eth2 eth3 wifi) para todos los paquetes provenientes de eth1. Debe existir una configuración similar para todos los paquetes provenientes de adsl a eth2, eth3 y wifi (adsl a eth2, eth3 y wifi deben enviarse primero a eth1 y luego a los dispositivos respectivos). ¿Cómo?
Respuesta1
Normalmente, un filtro de contenido se configura como un servidor proxy, lo que significa que realiza conexiones a Internet en nombre de los clientes. En esta configuración, no sería sensato bloquear su acceso a Internet o no podría funcionar. A menos que esté filtrando sobre la marcha más como un firewall, puede agregar reglas que indiquen que los paquetes que se originan en el filtro de contenido deben descartarse. Además, la mayoría de los enrutadores domésticos y comerciales le permitirán descartar paquetes con una IP específica como fuente.
Si el enrutador en cuestión es un enrutador doméstico, entonces eth1 - eth3 y wifi están todos unidos. Es decir, forman la misma red de capa 2 y normalmente no hay una manera de tratarlos como puertos individuales y aplicar decisiones de enrutamiento individualmente.
En este caso, deberá hacer que la puerta de enlace predeterminada de la red sea el filtro de contenido. Esto enviará todo el tráfico desde cualquier dispositivo conectado al enrutador al filtro de contenido. Normalmente no puedes hacer esto con un enrutador doméstico, pero puedes desactivar el servicio DHCP en el enrutador y configurar uno en tu filtro de contenido.
Entonces, la puerta de enlace predeterminada del filtro de contenido sería el enrutador. Tenga en cuenta que los paquetes entrarían y saldrían de la misma interfaz del filtro de contenido, pero esto no debería ser un problema. Si se trata de una caja de Linux, asegúrese de que /etc/sysctl.conf
contenga:
net.ipv4.conf.all.send_redirects = 0
Esto detendrá el filtro de contenido y le indicará al enrutador que se conecte directamente a las direcciones IP locales si los paquetes llegan a su interfaz, pero están destinados a otra dirección IP en la misma red. Como serán en tu caso.
La última parte es asegurarse de que todo el tráfico entrante vaya al filtro de contenido. La mayoría de los enrutadores domésticos le permitirán agregar rutas estáticas. Si agrega una ruta estática para todo el rango de su red interna, por ejemplo 192.168.0.0/24 para ir a la dirección IP de su filtro de contenido, esto anulará la tendencia natural del enrutador a enviar paquetes a dispositivos en una red a la que está conectado. directamente a esos dispositivos. En cambio, todo lo entrante irá al filtro de contenido.