Considere um roteador com conexão adsl à internet, 3 portas ethernet (eth1 a eth3) e wifi.
Considere que existe uma máquina Linux (que faz filtragem de conteúdo (lista de permissões - permite apenas ips específicos ou combinações de ip/tcp ou URLs (a lista de permissões) e bloqueia todo o resto)) conectada à eth1 no roteador, mas nunca se conecta à internet. Esta máquina pode ser impedida de acessar a conexão de internet adsl permanentemente. Como?
Considere que pode haver duas outras máquinas na eth2 e na eth3 e provavelmente muitas mais através de wifi.
O roteador pode ser configurado para retransmitir todo o tráfego (pacotes brutos da camada física) de eth2, eth3 e todos os nós conectados por Wi-Fi para eth1 e eth1 encaminhariam os pacotes permitidos de volta para o roteador e descartariam o restante deles. O roteador usaria o adsl (ou eth2 eth3 wifi) para todos os pacotes provenientes da eth1. Configuração semelhante deve existir para todos os pacotes provenientes de adsl para eth2, eth3 e wifi (adsl para eth2, eth3 e wifi devem ser enviados primeiro para eth1 e depois para os respectivos dispositivos). Como?
Responder1
Normalmente, um filtro de conteúdo é configurado como um servidor proxy, o que significa que ele faz conexões com a internet em nome dos clientes. Nesta configuração, não faria sentido bloquear seu acesso à internet ou ele não funcionaria. A menos que você esteja filtrando dinamicamente mais como um firewall, você pode adicionar regras que digam que os pacotes originados do filtro de conteúdo devem ser descartados. Além disso, a maioria dos roteadores domésticos e comerciais permitem descartar pacotes com um IP específico como origem.
Se o roteador em questão for doméstico, então eth1 - eth3 e wifi estão todos interligados. Ou seja, eles formam a mesma rede de camada 2 e normalmente não há uma maneira de tratá-los como portas individuais e aplicar decisões de roteamento individualmente.
Nesse caso, você precisaria fazer com que o gateway padrão da rede fosse o filtro de conteúdo. Isso enviará todo o tráfego de qualquer dispositivo conectado ao roteador para o filtro de conteúdo. Normalmente você não pode fazer isso com um roteador doméstico, mas pode desabilitar o serviço DHCP no roteador e configurar um em seu filtro de conteúdo.
Então o gateway padrão do filtro de conteúdo seria o roteador. Observe que os pacotes entrariam e sairiam da mesma interface do filtro de conteúdo, mas isso não deveria ser um problema. Se esta for uma caixa Linux, certifique-se de que /etc/sysctl.confcontém:
net.ipv4.conf.all.send_redirects = 0
Isso interromperá o filtro de conteúdo informando ao roteador para se conectar diretamente aos endereços IP locais se os pacotes chegarem em sua interface, mas destinados a outro endereço IP na mesma rede. Como serão no seu caso.
A última parte é garantir que todo o tráfego de entrada irá para o filtro de conteúdo. A maioria dos roteadores domésticos permite adicionar rotas estáticas. Se você adicionar uma rota estática para todo o seu intervalo de rede interno - por exemplo 192.168.0.0/24 para ir para o endereço IP do seu filtro de conteúdo, isso substituirá a tendência natural do roteador de enviar pacotes para dispositivos em uma rede à qual está conectado. diretamente para esses dispositivos. Em vez disso, qualquer coisa recebida irá para o filtro de conteúdo.