이것이 어떻게 가능한지는 잘 모르겠지만 2개의 인터페이스가 있는 Linux(ubuntu 14.04) 상자가 있습니다. eth0은 LAN에 연결되어 있고 192.168.0.*
eth1은 네트워크의 dlink Wi-Fi 라우터에 연결되어 있습니다 192.168.3.*
.
Wi-Fi 네트워크는 모바일 장치에서만 작동합니다. 상자에 설치된 웹 애플리케이션에만 액세스할 수 있습니다. 누군가 SSH를 통해 해당 박스에 접근할 수 있는 권한이 있더라도 192.168.0.* 네트워크에 접근하는 등 예상치 못한 상황을 방지하고 싶습니다.
그런 일이 가능합니까?
편집하다
/etc/sysctl.conf에서 이제 net.ipv4.ip_forward=0
sudo -p /etc/sysctl.conf를 사용하여 컴퓨터를 다시 시작합니다. 그러나 그것은 작동하지 않았습니다. 192.168.0.* 네트워크에 ping을 보낼 수 있습니다.
#sysctl -a
net.ipv4.conf.all.accept_local = 0
net.ipv4.conf.all.accept_redirects = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.arp_accept = 0
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.arp_ignore = 0
net.ipv4.conf.all.arp_notify = 0
net.ipv4.conf.all.bootp_relay = 0
net.ipv4.conf.all.disable_policy = 0
net.ipv4.conf.all.disable_xfrm = 0
net.ipv4.conf.all.force_igmp_version = 0
net.ipv4.conf.all.forwarding = 0
net.ipv4.conf.all.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.all.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.all.medium_id = 0
net.ipv4.conf.all.promote_secondaries = 0
net.ipv4.conf.all.proxy_arp = 0
net.ipv4.conf.all.proxy_arp_pvlan = 0
net.ipv4.conf.all.route_localnet = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.all.secure_redirects = 1
net.ipv4.conf.all.send_redirects = 1
net.ipv4.conf.all.shared_media = 1
net.ipv4.conf.all.src_valid_mark = 0
net.ipv4.conf.all.tag = 0
편집 2
아래는 내 iptables입니다.
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
답변1
net.ipv4.ip_forward
0으로 설정하면 eth1
누구든지 귀하의 상자에 액세스하는 것을 방지할 수 있습니다. 그러나 루트 액세스 권한이 있는 경우에는 다른 사람이 귀하의 상자에 액세스하는 것을 방지할 수 없습니다. iptables filter
테이블 및 input
/또는 output
체인을 사용하여 루트가 아닌 사용자가 상자에 액세스하는 것을 방지합니다.