単一ホストへのアクセス制限

単一ホストへのアクセス制限

2つのホスト(AとB)があり、各ホストにはLANポートを介して3Gルーターに直接接続されたネットワークインターフェースがあります。 3Gルータを指すようにホストAとBゲートウェイを設定しました。ただし、ホストAはホストBにのみ接続できます。ホストAの外部(インターネットなど)アクセスを制限する方法は?

答え1

最も簡単な方法は、ホストAのデフォルトパスを削除することです。これにより、ホストBなどのローカルLAN上の他のホストにのみ接続できます。ただし、ホストCを別のLANポートに配置すると、ホストAはそのポートと通信できます。次のステップは、ホストAを別々のネットワーク/ VLANに配置し、ファイアウォールルールを実装してこれを制限することです。ただし、これは単純なユースケースでは過剰になる可能性があります。

答え2

ネットワーク設定からデフォルトゲートウェイを削除する

/etc/networking/interfaces

そしてネットワークを再起動してください

services networking restart
/etc/init.d/networking restart

または

 route -n 
 route del default gw xxx.xxx.xx.gw

xxx.xxx.xxx.gw はゲートウェイです。

答え3

編集者:謝罪する必要があります。私はいくつかの追加テストを行いましたが、以下に書かれたルールは期待どおりに機能しません。テスト結果を反映して回答を更新しました。

いくつかのオプションがあります。

  1. 3Gルーターにファイアウォール機能がある場合は、ホストAに入ってくるすべてのトラフィックを破棄するようにファイアウォールルールを設定します。
  2. LANトラフィックのみを許可するようにufwを有効にして設定します。 UFWコミュニティヘルプ

それはまるで

sudo ufw enable
sudo ufw allow in from 192.168.0.0/24
sudo ufw allow out to 192.168.0.0/24
sudo ufw default deny outgoing
sudo ufw default deny incoming

これにより、LAN に出入りするトラフィックを許可し、他のすべてのトラフィックを拒否する明示的なルールが作成されます。

関連情報