考慮一個具有 adsl 連接到互聯網、3 個乙太網路連接埠(eth1 到 eth3)和 wifi 的路由器。
假設有一台Linux 機器(即進行內容過濾(白名單- 只允許特定的ip 或ip/tcp 組合或url(白名單)並阻止其他所有內容))連接到路由器上的eth1,但從未連接到互聯網。是否可以永久阻止這台機器存取 adsl 網路連線。如何?
考慮一下 eth2 和 eth3 上可能還有另外兩台機器,可能還有更多通過 wifi 的機器。
路由器是否可以設定為中繼從 eth2、eth3 和所有 wifi 連接節點到 eth1 的所有流量(原始實體層封包),並且 eth1 會將允許的封包轉迴路由器並丟棄其餘封包。路由器將使用 adsl(或 eth2 eth3 wifi)來處理來自 eth1 的所有資料包。對於從 adsl 到 eth2、eth3 和 wifi 的所有資料包,必須存在類似的設定(adsl 到 eth2、eth3 和 wifi 必須先傳送到 eth1,然後傳送到相應的裝置)。如何?
答案1
通常,內容過濾器被設定為代理伺服器,這意味著它代表客戶端與互聯網建立連線。在這種配置中,阻止其存取互聯網是不明智的,否則它將無法運作。除非您像防火牆一樣進行動態過濾,否則您可以新增規則,表示應丟棄源自內容過濾器的封包。此外,大多數家用和所有商用路由器都會讓您丟棄以特定 IP 作為來源的資料包。
如果問題的路由器是家用路由器,則eth1 - eth3和wifi都橋接在一起。也就是說,它們形成相同的第 2 層網絡,通常沒有辦法將它們視為單獨的連接埠並單獨應用路由決策。
在這種情況下,您需要將網路的預設閘道設為內容過濾器。這會將連接到路由器的任何裝置的所有流量推送到內容過濾器。通常您無法使用家用路由器執行此操作,但您可以停用路由器上的 DHCP 服務,並在內容過濾器上設定一項。
那麼內容過濾器預設閘道就是路由器。請注意,資料包將進出內容過濾器的相同接口,但這不應該成為問題。如果這是一個 Linux 盒子,請確保/etc/sysctl.conf包含:
net.ipv4.conf.all.send_redirects = 0
如果封包到達其接口,但目的地是同一網路上的其他 IP 位址,這將阻止內容過濾器告訴路由器直接連接到本機 IP 位址。就像你的情況一樣。
最後一部分是確保所有傳入流量都將進入內容過濾器。大多數國內路由器都會允許您新增靜態路由。如果您為整個內部網路範圍新增靜態路由 - 例如 192.168.0.0/24 以前往內容過濾器的 IP 位址,這將覆蓋路由器向其所連接的網路上的裝置傳送封包的自然趨勢直接連接到這些裝置.相反,任何傳入的內容都會進入內容過濾器。