Домашний маршрутизатор с «расширенными» правилами брандмауэра, разрешает только определенные исходящие диапазоны IP-адресов для определенных устройств

Домашний маршрутизатор с «расширенными» правилами брандмауэра, разрешает только определенные исходящие диапазоны IP-адресов для определенных устройств

Я ищу маршрутизатор домашней сети, который позволит мне изолировать определенные машины от большей части интернета, но не от всего. Я не хочу делать это только на основе номеров портов, а на основе диапазона IP.

Например, машина с Windows 10 в моей сети (192.168.4.10) может общаться через прокси, но также нуждается в доступе к Интернету способами, которые не могут быть прокси. Для этой цели ящику разрешено подключаться только к определенному диапазону IP-адресов (например, abcd/16). Также было бы хорошо, если бы это могли быть правила разрешения или запрета (некоторые ящики имеют только правила запрета, то есть вам придется все инвертировать и не получится правильно объединить правила).

Поэтому я хотел бы настроить правило в маршрутизаторе, которое выглядит следующим образом (с iptables):

iptables -N PROXY   # create proxy chain
iptables -A FORWARD --source 192.168.4.10 -j PROXY    # send traffic from isolated machine to PROXY chain
iptables -A PROXY --destination 145.x.y.z/16 -j ACCEPT   # allow some subnet only
iptables -A PROXY -j DROP  # drop everything else (enforces proxy use)

Или короче (не проверено):

iptables -A OUTPUT --source 192.168.4.10 --destination 145.x.y.z/16 -j ACCEPT
iptables -A OUTPUT --source 192.168.4.10 -j DROP

Какой производитель/тип маршрутизатора может иметь такие возможности или какое ключевое слово мне следует искать? Большинство из тех, что я рассматривал, допускают такую ​​блокировку только для определенного клиента на основе "услуг" (т. е. диапазона портов и протокола). Если бы они также имели некоторые поля для маски IP и сделали порты необязательными, я думаю, этого было бы достаточно для того, чего я пытаюсь добиться.

Есть идеи?

Связанный контент