有没有办法让局域网中的一台电脑只访问外网,不能访问内网?
本帖最后由 thepresent 于 2024-4-12 13:20 编辑如下图所示,局域网中有一台电脑PC1,通过frp内网穿透连到外网。PC1没有控制权。担心如果PC1被黑,内网的资料有泄露的风险。所以有什么办法让PC1只能访问外网,不能访问内网中的PC2和PC3等电脑。现在想到的办法是在路由器1中设置iptables过滤转发,将PC1访问内网192.168.0.0/16网段的转发包丢弃。这样可以禁止PC1访问PC3,但是没有办法禁止PC1访问PC2。
在路由器1下面再增加一个路由器是不是就可以解决问题?
补充一下,所有的电脑是有线连接到路由器。路由器2是上级路由器,不能访问设置。接到路由器2下的电脑PC3等也没法设置。只能设置路由器1及其下级路由器。
PC1单独连个路由器,或者带VLAN划分的交换机,都是一个意思,做到网段隔离。 电脑不多的情况下,做路由器的白名单或者黑名单。 如果pc2 pc1一定要同一网段
pc2 pc1的port划成不同vlan,再组bridge,就能用ebtables控制了
路由器开个访客网络。 网管交换机做ACL控制,或者用VLAN隔离。 谢谢大家,VLAN之前了解不多,先学习一下看看。 搞复杂了,就一个路由器,下面再加一个网管功能交换机,所有的PC都接在交换机上,设定不同的VLAN,PC1单独分一个VLAN,VLAN之间默认是隔离的,这样就安全了 最简单的就是使用稍微好一点路由器的 “访客模式”,
我的华硕 小旋风 就支持单独分一路 WIFI 账号给访客使用。
访客无法访问内网。而且还可以设置联网时间段和带宽。 Appcat 发表于 2024-4-12 11:31
搞复杂了,就一个路由器,下面再加一个网管功能交换机,所有的PC都接在交换机上,设定不同的VLAN,PC1单独 ...
(引用自8楼)
谢谢回复。之前忘了说了,路由器2是上级路由器,没有权限访问的。PC3也不能动。只能访问设置路由器1,或者在路由器1下面接路由器。 chunjiu 发表于 2024-4-12 12:30
最简单的就是使用稍微好一点路由器的 “访客模式”,
我的华硕 小旋风 就支持单独分一路 WIFI 账号给访客 ...
(引用自9楼)
谢谢。我搜了一下,访客网络是不是只能无线连接?PC1是有线接到路由器1的话是不是用不了访客网络? 本帖最后由 albert_w 于 2024-4-12 20:18 编辑
路由器1换成ubnt那种最简单的3口er-l(只有2手了),给外网pc配置一个口LAN2,并且禁止它访问LAN1口(有策略路由配置来支持这个)。或者五口那种er-x,开vlan,外网pc放一个vlan,并且禁止vlan互访。
8楼Appcat的应该是个好办法,但这样上行口是不是要trunk模式,那就需要路由器1支持vlan了。一些交换机有个标准,视频,隔离,那个隔离模式好像是干这个的各个口只能和上行口通
页:
[1]