두 개의 호스트(A와 B)가 있고 각 호스트에는 LAN 포트를 통해 3G 라우터에 직접 연결된 네트워크 인터페이스가 있습니다. 3G 라우터를 가리키도록 호스트 A와 B 게이트웨이를 구성했습니다. 그러나 호스트 A는 호스트 B에만 연결할 수 있습니다. 호스트 A의 외부(예: 인터넷) 액세스를 제한하는 방법은 무엇입니까?
답변1
가장 쉬운 방법은 호스트 A의 기본 경로를 삭제하는 것입니다. 이렇게 하면 호스트 B와 같은 로컬 LAN의 다른 호스트에만 연결할 수 있습니다. 그러나 호스트 C를 다른 LAN 포트에 배치하면 호스트 A가 해당 포트와 통신할 수 있습니다. 다음 단계는 호스트 A를 별도의 네트워크/VLAN에 배치하고 방화벽 규칙을 구현하여 이를 제한하는 것입니다. 그러나 이는 단순한 사용 사례에서는 과잉일 수 있습니다.
답변2
네트워크 설정에서 기본 게이트웨이 제거
/etc/networking/interfaces
그리고 네트워크를 다시 시작하세요
services networking restart
/etc/init.d/networking restart
또는
route -n
route del default gw xxx.xxx.xx.gw
xxx.xxx.xxx.gw는 게이트웨이입니다.
답변3
편집자: 사과해야겠어요. 몇 가지 추가 테스트를 수행했는데 아래에 작성된 규칙이 예상대로 작동하지 않습니다. 테스트 결과를 반영하여 답변을 업데이트했습니다.
몇 가지 옵션이 있습니다.
- 3G 라우터에 방화벽 기능이 있는 경우 호스트 A로 들어오고 나가는 모든 트래픽을 삭제하도록 방화벽 규칙을 구성합니다.
- LAN 트래픽만 허용하도록 ufw를 활성화하고 구성합니다. UFW 커뮤니티 도움말
그것은 마치
sudo ufw enable
sudo ufw allow in from 192.168.0.0/24
sudo ufw allow out to 192.168.0.0/24
sudo ufw default deny outgoing
sudo ufw default deny incoming
이렇게 하면 LAN으로 들어오고 나가는 트래픽을 허용하고 다른 모든 트래픽을 거부하는 명시적인 규칙이 생성됩니다.