Я ищу маршрутизатор домашней сети, который позволит мне изолировать определенные машины от большей части интернета, но не от всего. Я не хочу делать это только на основе номеров портов, а на основе диапазона IP.
Например, машина с Windows 10 в моей сети (192.168.4.10) может общаться через прокси, но также нуждается в доступе к Интернету способами, которые не могут быть прокси. Для этой цели ящику разрешено подключаться только к определенному диапазону IP-адресов (например, abcd/16). Также было бы хорошо, если бы это могли быть правила разрешения или запрета (некоторые ящики имеют только правила запрета, то есть вам придется все инвертировать и не получится правильно объединить правила).
Поэтому я хотел бы настроить правило в маршрутизаторе, которое выглядит следующим образом (с iptables):
iptables -N PROXY # create proxy chain
iptables -A FORWARD --source 192.168.4.10 -j PROXY # send traffic from isolated machine to PROXY chain
iptables -A PROXY --destination 145.x.y.z/16 -j ACCEPT # allow some subnet only
iptables -A PROXY -j DROP # drop everything else (enforces proxy use)
Или короче (не проверено):
iptables -A OUTPUT --source 192.168.4.10 --destination 145.x.y.z/16 -j ACCEPT
iptables -A OUTPUT --source 192.168.4.10 -j DROP
Какой производитель/тип маршрутизатора может иметь такие возможности или какое ключевое слово мне следует искать? Большинство из тех, что я рассматривал, допускают такую блокировку только для определенного клиента на основе "услуг" (т. е. диапазона портов и протокола). Если бы они также имели некоторые поля для маски IP и сделали порты необязательными, я думаю, этого было бы достаточно для того, чего я пытаюсь добиться.
Есть идеи?