インターネット上のDHCP割り当て固定IPをブロックしますが、デバイスへの内部LANネットワークアクセスを許可します。

インターネット上のDHCP割り当て固定IPをブロックしますが、デバイスへの内部LANネットワークアクセスを許可します。

Rasberry Piがあり、DHCPは静的IPアドレス(MACアドレスベース)を割り当てます。192.168.2.12ローカルゲートウェイは192.168.2.1であり、入って来るインターネットトラフィックをブロックしたいです。、しかしはい考えるRasberry PiへのローカルLANネットワークトラフィックアクセス(内部のみ)。私はこれをどうすることができますか?iptablesそしてAdvanceTomatoルータスクリプト? (それが一番良い/最も簡単な方法なら)。

ルーター画面

次のコマンドを試しました。

######## block all internet to ip address but give access to LAN 
iptables -I FORWARD -s 192.168.2.12 -j REJECT   

####### Restarts the firewall to update iptables without reboot of router
service firewall restart

しかし、オンラインに流出したと思います。

$ ping att.com

PING att.com (144.160.36.42) 56(84) bytes of data.
From unknown (192.168.2.1) icmp_seq=1 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=2 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=3 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=4 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=5 ttl=241 time=87.5 ms
From unknown (192.168.2.1) icmp_seq=6 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=7 ttl=241 time=64.8 ms
From unknown (192.168.2.1) icmp_seq=8 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=9 ttl=241 time=93.3 ms

インターネット上のDHCP割り当て固定IPをブロックしますが、デバイスへの内部LANネットワークアクセスを許可するために正しいコマンド/構文を使用していますか?

答え1

次のコマンドを実行して、Raspberryのデフォルトゲートウェイを削除できます。

$ sudo ip route del default

答え2

ルータはPiのMACアドレスのうち予約されたアドレスを使用し、デフォルトルートを割り当てないでください。これにより、パイが再起動されるたびに常に同じIPアドレスを取得しますが、ルーティングは取得されません。

その後、ファイアウォールルールでは、誰かが手動でデフォルトルートを割り当てる場合に備えて、そのIPアドレスのすべてを拒否できます。

もちろん、パイへのルートアクセス権を持つスマートな人なら、手動で別のアドレスを割り当ててルールを迂回することができます。ただし、偶然または意図しないインターネットアクセスからパイを誤ってブロックしたい場合は、この提案がうまくいくでしょう。

答え3

DROPあるネットワークから別のネットワークに転送する必要があるすべて(例:インターネット - > Lan || Lan - >インターネット):

iptables -P FORWARD DROP

DROPパケットは Raspberry Pi から LAN 外部ホストに、またはその逆に移動します。

iptables -A INPUT ! -s 192.168.2.0/24 -j DROP
iptables -A OUTPUT ! -d 192.168.2.0/24 -j DROP

関連情報