ルータのLANクライアントがローカルネットワークをスキャンするのを防ぐ方法は?

ルータのLANクライアントがローカルネットワークをスキャンするのを防ぐ方法は?

スイッチ2個(4+4)の8ポートルータ

カーネル2.6.xの使用

すべてのイーサネットクライアントは、同じサブネット(192.168.0.1/24)の同じルーターに接続されます。ルータに接続する唯一の目的は、インターネットにアクセスすることです。クライアントが互いに接続する理由はありません。

クライアントがルーターの他のクライアントを検索してアクセスするのを防ぐことはできますか?

ebtables、arptables、カスタムVLAN設定などでこれを実行できますか?

たとえば、IoTデバイスがルーターに接続されている場合は、そのデバイスが他のクライアントを検索または調査できないようにしたいと思います。

答え1

通常、この種のハードウェアでは、スイッチ部分は専用のハードウェアコンポーネントによって機能すると予想されます(たとえば、組み込みLinuxは8つの別々のインターフェイスを見ることができず、ブリッジングを処理しません)。したがって、ebtables / iptablesはこれには影響しません。

ただし、コンピュータを同じスイッチと同じネットワークセグメント(192.168.0.x)に配置する目的は、互いに通信できるようにすることです。

まず、各コンピュータに異なるネットワークを割り当てることはできませんか?つまり、各ポートは192.168.port.0/24(または192.168.port.0/30)です。その後、IPレベルでは、マシンはルータを使用して互いに通信する必要があり、これを防ぐためにiptablesを使用できます(ルータが期待どおりにスイッチ全体の1つのポートのみを見ると、そのポートのトラフィックを許可せずに転送します)。 )を同じポートに)。

これは最小限ですが、スイッチのおかげで、マシンが他のマシンと通信することは依然として可能です(たとえば、IPアドレススプーフィング、IP以外のプロトコル、特別に作成されたイーサネットフレームなど)。 (スイッチレベルで)より良い分離のためにVLANを使用して、コンピュータがイーサネットレベルでのみルータを表示できるようにします。

関連情報