인터넷에 대한 Adsl 연결, 3개의 이더넷 포트(eth1~eth3) 및 Wi-Fi가 있는 라우터를 생각해 보세요.
라우터의 eth1에 연결된 Linux 시스템(즉, 콘텐츠 필터링(화이트리스트 - 특정 IP 또는 IP/TCP 조합 또는 URL(화이트리스트)만 허용하고 다른 모든 것을 차단)을 수행하는 것)이 있지만 인터넷에는 연결되지 않는다고 가정합니다. 이 컴퓨터의 Adsl 인터넷 연결에 대한 액세스가 영구적으로 차단될 수 있습니까? 어떻게?
eth2와 eth3에 두 개의 다른 시스템이 있을 수 있고 Wi-Fi를 통해 더 많은 시스템이 있을 수 있다고 생각해 보세요.
eth2, eth3 및 모든 Wi-Fi 연결 노드에서 eth1 및 eth1의 모든 트래픽(원시 물리적 계층 패킷)을 중계하도록 라우터를 설정할 수 있습니까? 허용된 패킷을 다시 라우터로 전달하고 나머지는 삭제합니다. 라우터는 eth1에서 들어오는 모든 패킷에 대해 Adsl(또는 eth2 eth3 wifi)을 사용합니다. Adsl에서 eth2, eth3 및 wifi로 들어오는 모든 패킷에 대해 유사한 설정이 존재해야 합니다(adsl에서 eth2, eth3 및 wifi로 먼저 전송된 다음 eth1로 전송된 다음 해당 장치로 전송되어야 함). 어떻게?
답변1
일반적으로 콘텐츠 필터는 프록시 서버로 설정됩니다. 즉, 클라이언트를 대신하여 인터넷에 연결됩니다. 이 구성에서는 인터넷 액세스를 차단하는 것이 합리적이지 않거나 작동할 수 없습니다. 방화벽처럼 즉석에서 필터링하는 것이 아니라면 콘텐츠 필터에서 발생하는 패킷을 삭제해야 한다는 규칙을 추가할 수 있습니다. 또한 대부분의 국내 및 모든 상업용 라우터에서는 특정 IP를 소스로 사용하는 패킷을 삭제할 수 있습니다.
문제의 라우터가 국내 라우터라면 eth1 - eth3과 wifi가 모두 함께 브리지됩니다. 즉, 동일한 레이어 2 네트워크를 형성하며 일반적으로 이를 개별 포트로 취급하고 라우팅 결정을 개별적으로 적용할 수 있는 방법이 없습니다.
이 경우 네트워크의 기본 게이트웨이를 콘텐츠 필터로 설정해야 합니다. 이렇게 하면 라우터에 연결된 모든 장치의 모든 트래픽이 콘텐츠 필터로 푸시됩니다. 일반적으로 국내 라우터에서는 이 작업을 수행할 수 없지만 라우터에서 DHCP 서비스를 비활성화하고 콘텐츠 필터에서 DHCP 서비스를 설정할 수 있습니다.
그러면 콘텐츠 필터 기본 게이트웨이는 라우터가 됩니다. 패킷은 콘텐츠 필터의 동일한 인터페이스에서 들어오고 나가지만 이는 문제가 되지 않습니다. Linux 상자인 경우 다음 항목이 /etc/sysctl.conf포함되어 있는지 확인하세요.
net.ipv4.conf.all.send_redirects = 0
이렇게 하면 패킷이 인터페이스에 도착하지만 동일한 네트워크의 다른 IP 주소로 향하는 경우 라우터에 로컬 IP 주소에 직접 연결하라고 지시하는 콘텐츠 필터가 중지됩니다. 당신의 경우에도 그러할 것입니다.
마지막 부분은 들어오는 모든 트래픽이 콘텐츠 필터로 이동하는지 확인하는 것입니다. 대부분의 국내 라우터에서는 고정 경로를 추가할 수 있습니다. 전체 내부 네트워크 범위에 대해 고정 경로(예: 콘텐츠 필터의 IP 주소로 이동하기 위해 192.168.0.0/24)를 추가하면 연결된 네트워크의 장치에 대해 패킷을 보내는 라우터의 자연스러운 경향이 무시됩니다. 해당 장치에 직접 연결됩니다. 대신 들어오는 모든 내용은 콘텐츠 필터로 이동됩니다.