我有自己的電腦運行 Windows 7 和另一台電腦運行 Ubuntu Server 12.0.4。目前,如果我有一個在 Windows 7 上運行的東西(例如 Tomcat),我可以使用路由器 IP(例如 192.168.0.x)在 Ubuntu 盒子上存取它,反之亦然。我該如何做才能讓 Windows 7 盒子可以存取 Ubuntu 盒子,但 Ubuntu 盒子無法存取 Windows 7 盒子?基本上,我想允許 Ubuntu 盒子存取互聯網,但不允許存取路由器後面的其他電腦。
我嘗試在 Win7 機器上設定防火牆規則(使用 Windows 防火牆),該規則具有我的 Ubuntu 機器(192.168.0.6)的本機 IP 位址範圍,並選擇“封鎖連線”,但這似乎沒有什麼區別。
答案1
如果 Ubuntu 伺服器應該託管服務(例如網頁伺服器或 tomcat)並且這些服務應該可以從互聯網訪問,那麼您應該建立一個非軍事區(DMZ)。
https://en.wikipedia.org/wiki/DMZ_%28computing%29
伺服器將放置在 DMZ 中。根據防火牆和連接埠轉送配置,可以從 Internet 連接到 DMZ 內的主機。 DMZ 中的主機無法連接到內部網路中的主機。內部網路內的主機可以存取DMZ內和Internet上的主機。
如果攻擊者破壞了 DMZ 內的伺服器,則攻擊者無法直接連接到內部網路中的主機。當然這取決於配置。當內部網路中的主機與受感染的 DMZ 伺服器上的服務建立連線時,攻擊者仍然可以嘗試破壞內部網路中的主機。
有些路由器提供 DMZ 功能,可以在設定介面中啟用。
答案2
如果您只想限制 ubuntu 存取其他內容,那麼您可能需要查看 iptables,其中封包位於 eth... 出站至 192.xx0,狀態為 new -j DROP。
這不是確切的語法,但應該給你一個整體思路。防火牆會丟棄所有從 ubuntu 到本地網路的新封包。您必須在此規則之前指定您的路由器 -j ALLOW ,以便您始終可以向網際網路傳送新流量。由於它僅阻止出站新連接,因此您的贏盒在啟動會話時應該沒有問題。
如果你擔心的只是win系統,在上面放一個個人防火牆,把需要屏蔽的東西都屏蔽掉。如果你有一個像樣的電纜調變解調器,它可以讓你在無線和有線之間指定不同的IP,這樣它們就不能相互路由。