Rasberry Piがあり、DHCPは静的IPアドレス(MACアドレスベース)を割り当てます。192.168.2.12ローカルゲートウェイは192.168.2.1であり、入って来るインターネットトラフィックをブロックしたいです。、しかしはい考えるRasberry PiへのローカルLANネットワークトラフィックアクセス(内部のみ)。私はこれをどうすることができますか?iptablesそしてAdvanceTomatoルータスクリプト? (それが一番良い/最も簡単な方法なら)。
次のコマンドを試しました。
######## block all internet to ip address but give access to LAN
iptables -I FORWARD -s 192.168.2.12 -j REJECT
####### Restarts the firewall to update iptables without reboot of router
service firewall restart
しかし、オンラインに流出したと思います。
$ ping att.com
PING att.com (144.160.36.42) 56(84) bytes of data.
From unknown (192.168.2.1) icmp_seq=1 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=2 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=3 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=4 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=5 ttl=241 time=87.5 ms
From unknown (192.168.2.1) icmp_seq=6 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=7 ttl=241 time=64.8 ms
From unknown (192.168.2.1) icmp_seq=8 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=9 ttl=241 time=93.3 ms
インターネット上のDHCP割り当て固定IPをブロックしますが、デバイスへの内部LANネットワークアクセスを許可するために正しいコマンド/構文を使用していますか?
答え1
次のコマンドを実行して、Raspberryのデフォルトゲートウェイを削除できます。
$ sudo ip route del default
答え2
ルータはPiのMACアドレスのうち予約されたアドレスを使用し、デフォルトルートを割り当てないでください。これにより、パイが再起動されるたびに常に同じIPアドレスを取得しますが、ルーティングは取得されません。
その後、ファイアウォールルールでは、誰かが手動でデフォルトルートを割り当てる場合に備えて、そのIPアドレスのすべてを拒否できます。
もちろん、パイへのルートアクセス権を持つスマートな人なら、手動で別のアドレスを割り当ててルールを迂回することができます。ただし、偶然または意図しないインターネットアクセスからパイを誤ってブロックしたい場合は、この提案がうまくいくでしょう。
答え3
DROP
あるネットワークから別のネットワークに転送する必要があるすべて(例:インターネット - > Lan || Lan - >インターネット):
iptables -P FORWARD DROP
各DROP
パケットは Raspberry Pi から LAN 外部ホストに、またはその逆に移動します。
iptables -A INPUT ! -s 192.168.2.0/24 -j DROP
iptables -A OUTPUT ! -d 192.168.2.0/24 -j DROP