Как заблокировать определенный компьютер за NAT

Я управляю небольшим хостелом и имею следующую конфигурацию сети:

Router1 (192.168.1.1) ─┬─ (192.168.1.2) Ubuntu Samba+SSH Server
                       ├─ (192.168.1.X) Router 2 (192.168.2.1) ─┬─ (192.168.2.X) GuestPC1
                       ├─ (192.168.1.X) AdminPC1                ├─ (192.168.2.X) GuestPC2
                       ├─ (192.168.1.X) AdminPC2                ├─ (192.168.2.X) GuestPC3
                       :                                        :
                       :                                        :
                       └─ etc.                                  └─ etc.

192.168.1.X - это сеть ADMIN, которую мы хотели бы сохранить частной от сети GUEST (192.168.2.X), за исключением некоторых общих папок Samba на 192.168.1.2.

Все компьютеры в обеих сетях получают свои IP-адреса через DHCP, за исключением сервера Samba+SSH, который использует статический IP-адрес.

Я заметил, что GuestPC могут получить доступ к Ubuntu Samba+SSH Server, несмотря на то, что ufw настроен на разрешение только 192.168.1.0/24.

После небольшого исследования в Интернете кажется, что соединения от GuestPC могут маскироваться в моей сети ADMIN из-за NAT на маршрутизаторе 2. Таким образом, учитывая только вышеупомянутое правило ufw, GuestPC могут полностью получить доступ к службам Samba и SSH без ограничений.

Мой вопрос: как правильно предотвратить доступ компьютеров сети GUEST (192.168.2.X) к сети ADMIN (192.168.1.X)? Есть ли лучший способ, чем настроить маршрутизатор 2 на статический IP-адрес и заблокировать его IP-адрес с помощью команды ufw на сервере Ubuntu?

Источник

2 ответа

Вы можете поменять сеть1 и сеть2, то есть иметь сеть Office за вторым маршрутизатором, и это необходимо, и гости подключаются к первому маршрутизатору. Это, вероятно, самое простое решение (и жизнеспособное, если у вас нет проблем с double-nat, что вы и делаете каким-либо образом).

Поскольку ваша сеть работает, вы не можете заблокировать доступ к серверу, используя правила на своем (подключенном к Интернету) маршрутизаторе - так как трафик туда никогда не идет. Вы могли бы заблокировать его от вашего вторичного маршрутизатора.

Вы не указываете, где вы используете это правило UFW (или что это такое), но если вы хотите запретить гостям доступ к вашему серверу SAMBA, у вас есть по крайней мере несколько вариантов [при условии, что вы не изменяете свою сеть согласно моим первое предложение]

  1. Избавьтесь от NAT на вашем втором маршрутизаторе. В дополнение к отключению NAT вам потребуется протолкнуть маршрут для 192.168.2.0/24 от вашего первого маршрутизатора до второго маршрутизатора. Это позволит вам идентифицировать вторую сеть по диапазону IP-адресов и заблокировать ее на маршрутизаторе 2.

    ИЛИ ЖЕ

  2. Измените интерфейс WAN на router 2 на статический IP-адрес и заблокируйте его на сервере Ubuntu (и / или router 2).

Источник

Если вы можете сэкономить на ПК, то предложите использовать m0nowall, это дистрибутив FreeBSD, специализирующийся на безопасных сетевых приложениях. Он имеет ту функцию, которую вы хотите, при условии, что вы оборудуете ПК или больше сетевых карт

Источник
Другие вопросы по тегам