Bir bilgisayarı bir 7800n milyar dolarlık meşgul istemi kullanarak ağımdan nasıl ayırırım?

0

Tek yönlendiricim ewan limanını kullanarak internete bağlı bir milyar 7800n. 4 bilgisayar bağlı 2 kablolu ve 2 wifi kullanarak bağlı. Kablolu bağlantı noktalarından birini diğer bilgisayarları görmekten izole etmek istiyorum ancak yine de hepsinin internete erişmesini istiyorum. Web gui'yi kullanarak kurulum yapmak imkansız görünüyor ancak bir meşgul mesaj istemine erişebilirim. Bunu nasıl yapacağımla ilgili herhangi bir öneriniz.

Teşekkürler Dan

networking  router  vlan  busybox 
Dan Harris
kaynak

Yanıtlar:

0

İptables kullanmak zorunda kalacaksınız. Yönelticinizin 192.168.1.1, normal istemcilerinizin 192.168.1.2-4 ve yalıtmak istediğiniz 192.168.1.100 olduğunu varsayalım. Sonra aşağıdaki kurallar yapacaktır:

iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.2 -j DROP
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.3 -j DROP
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.4 -j DROP

Prensip doğrultusunda bu yeterli olmalı. Ancak, 192.168.1.100'ü kullanan kişi diğer makinelere erişebiliyorsa (fiziksel bile olsa!), Ters tünellerin kurulmasını önlemek mantıklı olabilir, bu durumda şu kuralları ekleyeceğim:

iptables -A FORWARD -s 192.168.1.2 -d 192.168.1.100 -j DROP
iptables -A FORWARD -s 192.168.1.3 -d 192.168.1.100 -j DROP
iptables -A FORWARD -s 192.168.1.4 -d 192.168.1.100 -j DROP

Bunun çalışması için iki koşul vardır: ilk olarak, 192.168.1.100 aracılığıyla yapılan iletişim yönlendiriciden geçmelidir. Başka bir deyişle, 192.168.1.100’ü bir anahtara değil yönlendiriciye bağlamanız gerekir . Bir anahtara bağlarsanız, dahili trafik olduğundan, anahtara iletişim denemelerini 192.168.1.100'den anahtara bağlı diğer parçalara, yönlendiriciden doğrudan ve yukarıdaki komutlardan geçmeden iletebilecektir. asla uygulanmayacak. İkincisi, adet her zaman aynı IP adreslerine sahip olmalıdır; Bunu, yönlendirici GUI'nizde ayarlanmış bir özellik olan statik IP'lerle veya ayrılmış IP'lerle yapabilirsiniz.

DÜZENLE:

Wikipedia'ya göre ,

Bilgisayar ağlarında, tek bir katman-2 ağ, paketlerin sadece bir veya daha fazla yönlendirici vasıtasıyla aralarından geçebilmesi için karşılıklı olarak izole edilmiş çok sayıda farklı yayın alanı oluşturmak için bölümlendirilebilir; böyle bir etki alanı Sanal Yerel Alan Ağı, Sanal LAN veya VLAN olarak adlandırılır.

"Paketlerin yalnızca bir veya daha fazla yönlendirici aracılığıyla aralarından geçebileceği" durumu, tam olarak tanımladığım durumdur. Sadece fark 192.168.1.100 olan yayın trafiğini engelleyebilecektir. Bunda bunun için fazla bir yararı yok, bt eğer istersen, iptables kurallarını bu etkiyi sağlayacak şekilde değiştirebilirim. Aksi halde, yukarıda indiğim çözüm yorumunuzda bahsettiğinizle aynıdır.

MariusMatutiae
kaynak
Bağlantı noktası tabanlı bir çözüm hakkında daha fazla düşünüyordum, bu nedenle izole edilmiş bilgisayar bağlantı noktası 4'te olsaydı, yönlendirici web gui'sine erişemezdi ya da bağlantı noktasına bağlı bir bilgisayar yalnızca bu bilgisayar yönlendirici gui'ye erişebiliyordu. Vlans kullanarak mümkün olabileceğini düşündüm ama emin değilim?
Dan Harris,
Asıl soruma söylemem gereken şey, 7800n'ime bağlı yalıtılmış bilgisayarı kontrol edemeyeceğim. Teorik olarak ip adresini değiştirebilmesi için komşum olacak. Mac adresini kullanabilirdim ama sadece köprü kullanarak daha iyi ve daha güvenli bir çözüm olabileceğini düşünüyorum, belki de bilmiyorum. İnsanların muhtemelen çevrimiçi olarak bankaların güvende virüs bulaşmış bir makineyi yerel bir ağa bağlamasına izin vermesi iyi bir fikir değildi. Ama şu an buna şaşırmıştım.
Dan Harris,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.