Estoy buscando un enrutador de red doméstica que me permita aislar ciertas máquinas de la mayor parte de Internet, pero no de toda. No quiero hacer esto basándome únicamente en los números de puerto, sino según el rango de IP.
Por ejemplo, una máquina con Windows 10 en mi red (192.168.4.10) puede comunicarse a través de un proxy, pero también necesita acceder a Internet de maneras que no pueden ser proxy. Para este propósito, la caja solo puede conectarse a un rango de IP específico (abcd/16, por ejemplo). También sería bueno si esto pudiera basarse en reglas basadas en permitir o denegar (algunos cuadros solo tienen reglas de denegación, lo que significa que debe invertir todo y no puede combinar las reglas correctamente).
Entonces me gustaría configurar una regla en el enrutador que se vea así (con iptables):
iptables -N PROXY # create proxy chain
iptables -A FORWARD --source 192.168.4.10 -j PROXY # send traffic from isolated machine to PROXY chain
iptables -A PROXY --destination 145.x.y.z/16 -j ACCEPT # allow some subnet only
iptables -A PROXY -j DROP # drop everything else (enforces proxy use)
O más corto (no probado):
iptables -A OUTPUT --source 192.168.4.10 --destination 145.x.y.z/16 -j ACCEPT
iptables -A OUTPUT --source 192.168.4.10 -j DROP
¿Qué marca/tipo de enrutador podría tener tales capacidades o qué palabra clave debería buscar? La mayoría de los que he visto solo permiten este tipo de bloqueo para un cliente específico basado en "servicios" (es decir, un rango de puertos y un protocolo). Si también tuvieran algunos campos para una máscara IP y hicieran que los puertos fueran opcionales, creo que sería lo suficientemente bueno para lo que estoy tratando de lograr.
¿Algunas ideas?