![라우터의 LAN 클라이언트가 로컬 네트워크를 검색하는 것을 방지하는 방법은 무엇입니까?](https://linux55.com/image/115995/%EB%9D%BC%EC%9A%B0%ED%84%B0%EC%9D%98%20LAN%20%ED%81%B4%EB%9D%BC%EC%9D%B4%EC%96%B8%ED%8A%B8%EA%B0%80%20%EB%A1%9C%EC%BB%AC%20%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC%EB%A5%BC%20%EA%B2%80%EC%83%89%ED%95%98%EB%8A%94%20%EA%B2%83%EC%9D%84%20%EB%B0%A9%EC%A7%80%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
스위치 2개(4+4)의 8포트 라우터
커널 2.6.x 사용
모든 이더넷 클라이언트는 동일한 서브넷(192.168.0.1/24)의 동일한 라우터에 연결됩니다. 라우터에 연결하는 유일한 목적은 인터넷에 액세스하는 것입니다. 클라이언트가 서로 연결할 이유가 없습니다.
클라이언트가 라우터의 다른 클라이언트를 검색하고 액세스하는 것을 방지할 수 있습니까?
ebtables, arptables, 사용자 정의 VLAN 구성 등을 통해 이를 수행할 수 있습니까?
예를 들어 IoT 장치가 라우터에 연결된 경우 해당 장치가 다른 클라이언트를 검색하거나 조사할 수 없도록 하고 싶습니다.
답변1
일반적으로 이러한 종류의 하드웨어에서는 스위치 부분이 전용 하드웨어 구성 요소에 의해 작동될 것으로 예상합니다(예: 임베디드 Linux는 8개의 별도 인터페이스를 볼 수 없으며 브리징을 처리하지 않습니다). 따라서 ebtables/iptables는 이에 영향을 미치지 않습니다.
그러나 컴퓨터를 동일한 스위치 및 동일한 네트워크 세그먼트(192.168.0.x)에 배치하는 전체 목적은 서로 통신할 수 있도록 하는 것입니다.
첫째, 각 컴퓨터에 다른 네트워크를 할당할 수 없습니까? 즉, 각 포트는 192.168.port.0/24(또는 192.168.port.0/30)입니다. 그런 다음 IP 수준에서 머신은 라우터를 사용하여 서로 통신해야 하며, 이를 방지하기 위해 iptables를 사용할 수 있습니다(라우터가 예상대로 전체 스위치 중 하나의 포트만 볼 경우 해당 포트의 트래픽을 허용하지 않고 전달합니다). )를 동일한 포트로 ).
이는 최소한이지만 스위치 덕분에 기계가 다른 기계와 통신하는 것이 여전히 가능합니다(예: IP 주소 스푸핑, IP 이외의 프로토콜, 특별히 제작된 이더넷 프레임 등). (스위치 수준에서) 더 나은 격리를 위해 VLAN을 사용하여 컴퓨터가 이더넷 수준에서만 라우터를 볼 수 있도록 합니다.