有没有办法让局域网中的一台电脑只访问外网，不能访问内网？

thepresent · 发表于 2024-4-12 09:31:05

本帖最后由 thepresent 于 2024-4-12 13:20 编辑

如下图所示，局域网中有一台电脑PC1，通过frp内网穿透连到外网。PC1没有控制权。担心如果PC1被黑，内网的资料有泄露的风险。所以有什么办法让PC1只能访问外网，不能访问内网中的PC2和PC3等电脑。现在想到的办法是在路由器1中设置iptables过滤转发，将PC1访问内网192.168.0.0/16网段的转发包丢弃。这样可以禁止PC1访问PC3，但是没有办法禁止PC1访问PC2。
在路由器1下面再增加一个路由器是不是就可以解决问题？
补充一下，所有的电脑是有线连接到路由器。路由器2是上级路由器，不能访问设置。接到路由器2下的电脑PC3等也没法设置。只能设置路由器1及其下级路由器。

饭桶 · 发表于 2024-4-12 09:39:00

PC1单独连个路由器，或者带VLAN划分的交换机，都是一个意思，做到网段隔离。

饭桶 · 发表于 2024-4-12 09:39:55

电脑不多的情况下，做路由器的白名单或者黑名单。

Himem · 发表于 2024-4-12 09:40:41

如果pc2 pc1一定要同一网段
pc2 pc1的port划成不同vlan，再组bridge，就能用ebtables控制了

yyts · 发表于 2024-4-12 09:43:19

路由器开个访客网络。

vtte · 发表于 2024-4-12 09:48:53

网管交换机做ACL控制，或者用VLAN隔离。

thepresent · 发表于 2024-4-12 10:11:38

谢谢大家，VLAN之前了解不多，先学习一下看看。

Appcat · 发表于 2024-4-12 11:31:32

搞复杂了，就一个路由器，下面再加一个网管功能交换机，所有的PC都接在交换机上，设定不同的VLAN，PC1单独分一个VLAN，VLAN之间默认是隔离的，这样就安全了

chunjiu · 发表于 2024-4-12 12:30:35

最简单的就是使用稍微好一点路由器的 “访客模式”，

我的华硕小旋风就支持单独分一路 WIFI 账号给访客使用。

访客无法访问内网。而且还可以设置联网时间段和带宽。

thepresent · 发表于 2024-4-12 13:10:11

Appcat 发表于 2024-4-12 11:31
搞复杂了，就一个路由器，下面再加一个网管功能交换机，所有的PC都接在交换机上，设定不同的VLAN，PC1单独 ...
(引用自8楼)

谢谢回复。之前忘了说了，路由器2是上级路由器，没有权限访问的。PC3也不能动。只能访问设置路由器1，或者在路由器1下面接路由器。

thepresent · 发表于 2024-4-12 13:11:56

chunjiu 发表于 2024-4-12 12:30
最简单的就是使用稍微好一点路由器的 “访客模式”，

我的华硕小旋风就支持单独分一路 WIFI 账号给访客 ...
(引用自9楼)

谢谢。我搜了一下，访客网络是不是只能无线连接？PC1是有线接到路由器1的话是不是用不了访客网络？

albert_w · 发表于 2024-4-12 15:55:35

本帖最后由 albert_w 于 2024-4-12 20:18 编辑

路由器1换成ubnt那种最简单的3口er-l（只有2手了），给外网pc配置一个口LAN2，并且禁止它访问LAN1口（有策略路由配置来支持这个）。或者五口那种er-x，开vlan，外网pc放一个vlan，并且禁止vlan互访。

8楼Appcat的应该是个好办法，但这样上行口是不是要trunk模式，那就需要路由器1支持vlan了。一些交换机有个标准，视频，隔离，那个隔离模式好像是干这个的各个口只能和上行口通

有没有办法让局域网中的一台电脑只访问外网，不能访问内网？

本帖子中包含更多资源

阿莫论坛20周年了！感谢大家的支持与爱护！！

浏览过的版块