Rasberry Pi가 있고 DHCP가 고정 IP 주소(MAC 주소 기반)를 할당합니다.192.168.2.12로컬 게이트웨이는 192.168.2.1이고,들어오고 나가는 인터넷 트래픽을 차단하고 싶습니다., 하지만그래요생각하다Rasberry Pi에 대한 로컬 LAN 네트워크 트래픽 액세스(내부 전용). 내가 이걸 어떻게 할 수 있지?iptables그리고AdvanceTomato 라우터 스크립트? (그것이 가장 좋고/가장 쉬운 방법이라면).
다음 명령을 시도했습니다.
######## block all internet to ip address but give access to LAN
iptables -I FORWARD -s 192.168.2.12 -j REJECT
####### Restarts the firewall to update iptables without reboot of router
service firewall restart
근데 온라인에 유출된거 같은데
$ ping att.com
PING att.com (144.160.36.42) 56(84) bytes of data.
From unknown (192.168.2.1) icmp_seq=1 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=2 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=3 Destination Port Unreachable
From unknown (192.168.2.1) icmp_seq=4 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=5 ttl=241 time=87.5 ms
From unknown (192.168.2.1) icmp_seq=6 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=7 ttl=241 time=64.8 ms
From unknown (192.168.2.1) icmp_seq=8 Destination Port Unreachable
64 bytes from att.com (144.160.36.42): icmp_seq=9 ttl=241 time=93.3 ms
인터넷에서 DHCP 할당 고정 IP를 차단하지만 장치에 대한 내부 LAN 네트워크 액세스를 허용하기 위해 올바른 명령/구문을 사용하고 있습니까?
답변1
다음 명령을 실행하여 Raspberry의 기본 게이트웨이를 제거할 수 있습니다.
$ sudo ip route del default
답변2
라우터에서는 Pi의 MAC 주소 중 예약된 주소를 사용하고 기본 경로를 할당하지 마세요. 이렇게 하면 파이가 재부팅될 때마다 항상 동일한 IP 주소를 얻지만 라우팅은 얻지 못합니다.
그런 다음 방화벽 규칙에서 누군가가 수동으로 기본 경로를 할당하는 경우를 대비해 해당 IP 주소의 모든 것을 거부할 수 있습니다.
물론, 파이에 대한 루트 액세스 권한이 있는 똑똑한 사람이라면 수동으로 다른 주소를 할당하고 규칙을 우회할 수 있습니다. 그러나 우연히 또는 의도하지 않은 인터넷 액세스로부터 파이를 우연히 차단하려는 경우 이 제안이 효과가 있을 것입니다.
답변3
DROP한 네트워크에서 다른 네트워크로 전달해야 하는 모든 것(예: 인터넷 -> Lan || Lan -> 인터넷):
iptables -P FORWARD DROP
각 DROP패킷은 Raspberry Pi에서 LAN 외부 호스트로 또는 그 반대로 이동합니다.
iptables -A INPUT ! -s 192.168.2.0/24 -j DROP
iptables -A OUTPUT ! -d 192.168.2.0/24 -j DROP