У меня есть свой компьютер с Windows 7 и другой компьютер с Ubuntu Server 12.0.4. В настоящее время, если у меня есть что-то, работающее на Windows 7 (например, Tomcat), я могу получить к нему доступ на Ubuntu box, используя IP-адрес маршрутизатора (что-то вроде 192.168.0.x), и наоборот. Как мне сделать так, чтобы Windows 7 box мог получить доступ к Ubuntu box, но Ubuntu box не мог получить доступ к Windows 7 box? По сути, я хочу разрешить Ubuntu box доступ к Интернету, но не доступ к другим компьютерам за маршрутизатором.
Я попытался настроить правило брандмауэра на компьютере с Win7 (используя брандмауэр Windows), которое охватывало локальные IP-адреса моего компьютера с Ubuntu (192.168.0.6), и выбрал «Блокировать подключение», но это, похоже, не помогло.
решение1
Если на сервере Ubuntu должны размещаться службы (например, веб-сервер или tomcat) и эти службы должны быть доступны из Интернета, то вам следует создать демилитаризованную зону (DMZ).
https://en.wikipedia.org/wiki/DMZ_%28computing%29
Сервер будет помещен в DMZ. В зависимости от конфигурации брандмауэра и переадресации портов возможно подключение к хостам внутри DMZ из Интернета. Хосты в DMZ не могут подключаться к хостам во внутренней сети. Хосты внутри внутренней сети могут получать доступ к хостам внутри DMZ и в Интернет.
Если злоумышленник скомпрометирует сервер внутри DMZ, злоумышленник не сможет напрямую подключиться к хостам во внутренней сети. Конечно, это зависит от конфигурации. И злоумышленник все равно может попытаться скомпрометировать хосты во внутренней сети, когда они устанавливают соединения со службами на скомпрометированном сервере DMZ.
Некоторые маршрутизаторы предоставляют функцию DMZ, которую можно включить в интерфейсе конфигурации.
решение2
если вы хотите ограничить доступ Ubuntu только к другим вещам, то вам, возможно, стоит заглянуть в iptables, где пакет находится на eth... исходящем на 192.xx0 и статусе - new -j DROP.
это не точный синтаксис, но он должен дать вам общее представление. брандмауэр отбрасывает все новые пакеты, исходящие из ubuntu в локальную сеть. вам нужно указать маршрутизатору -j ALLOW непосредственно перед этим правилом, чтобы вы всегда могли отправлять новый трафик в интернет. Поскольку он блокирует только исходящие новые соединения, у вашего win-бокса не должно возникнуть проблем с запуском сеансов с ним.
Если вас беспокоит только система Win, установите на ней персональный брандмауэр и заблокируйте то, что необходимо заблокировать. Если у вас приличный кабельный модем, он может позволить вам указать разные IP-адреса для беспроводной и проводной сетей, чтобы они не могли направлять трафик друг к другу.