Как заблокировать определенный компьютер за NAT

У меня небольшой хостел и имеют следующую конфигурацию сети:

Router1 (192.168.1.1) ─┬─ (192.168.1.2) Ubuntu Samba+SSH Server
                       ├─ (192.168.1.X) Router 2 (192.168.2.1) ─┬─ (192.168.2.X) GuestPC1
                       ├─ (192.168.1.X) AdminPC1                ├─ (192.168.2.X) GuestPC2
                       ├─ (192.168.1.X) AdminPC2                ├─ (192.168.2.X) GuestPC3
                       :                                        :
                       :                                        :
                       └─ etc.                                  └─ etc.

192.168.1.X-это сеть администратора, которую мы хотели бы сохранить в тайне от гостевой сети (192.168.2.X) сохранить для некоторых общих папок Samba на 192.168.1.2.

все компьютеры в обеих сетях получают свои IP-адреса через DHCP, за исключением сервера Samba+SSH, который использует статический IP.

Я заметил, что GuestPC могут получить доступ к серверу Ubuntu Samba+SSH, несмотря на настройка ufw для разрешения только 192.168.1.0 / 24.

после исследования немного в Интернете, кажется, что соединения от GuestPC способны маскироваться на моей сети администратора из-за NAT на маршрутизаторе 2. Таким образом, учитывая только вышеупомянутое правило ufw, GuestPC могут полностью получить доступ к сервисам Samba и SSH без ограничений.

мой вопрос в том, каков правильный способ предотвращения гостевой сети (192.168.2.X) компьютеры от доступа к сети администратора (192.168.1.X)? Есть ли лучший способ, чем установить маршрутизатор 2 на статический IP и блокировать его IP с помощью ufw на сервере Ubuntu?

21
задан silvernightstar
23.02.2023 13:22 Количество просмотров материала 2937
Распечатать страницу

2 ответа

можно поменять сети1 и подключенных к сети2, т. е. у вашей офисной сети за второй роутер, и есть, и гостей подключить первый роутер. Это, вероятно, самое простое решение (и жизнеспособное, предполагая, что у вас нет проблемы с двойным nat, что вы делаете каким-либо образом).

Так как ваша сеть стоит, вы не можете блокировать доступ к серверу с помощью правил на вашем (интернет подключен) маршрутизатор - как трафик никогда не идет туда. Вы смогли по возможности преградить его от вашего вторичный маршрутизатор.

вы не указываете, где вы используете это правило ufw (или что это такое), но если вы хотите запретить гостям доступ к вашему серверу SAMBA, у вас есть по крайней мере несколько альтернатив [ предполагая, что вы не изменяете свою сеть в соответствии с моим первым предложением ]

  1. избавиться от NAT на втором маршрутизаторе. Помимо выключения NAT вам понадобится чтобы проложить маршрут для 192.168.2.0 / 24 от первого маршрутизатора ко второму маршрутизатору. Это позволит вам определить вторую сеть по диапазону IP-адресов и заблокировать ее маршрутизатор 2.

    или

  2. измените интерфейс WAN на router2 на статический IP-адрес и заблокируйте его на Ubuntu server (и/или маршрутизатор 2).

4
отвечен davidgo 2023-02-24 21:10

Если вы можете пощадить компьютер, предложите использовать m0nowall, это дистрибутив FreeBSD, специализированный для безопасных сетевых приложений. Он имеет эту функцию, которую вы хотите, при условии, что вы оснащаете компьютер с или более сетевых адаптеров

0
отвечен MemCtrl 2023-02-24 23:27

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх