Мой единственный маршрутизатор - это миллиард 7800n, подключенных к Интернету через порт ewan. У меня есть 4 компьютера, подключенных к нему 2 проводных и 2 с помощью Wi-Fi. Я хочу изолировать один из проводных портов от просмотра других компьютеров, но я все еще хочу, чтобы все они имели доступ к Интернету. Кажется, невозможно настроить с помощью веб-интерфейса, но я могу получить доступ к приглашению busybox. Любые предложения о том, как я это сделаю.
Спасибо Дэн
Вам придется использовать iptables. Предположим, ваш маршрутизатор - 192.168.1.1, ваши обычные клиенты - 192.168.1.2-4, а тот, который вы хотите изолировать, - 192.168.1.100. Тогда подойдут следующие правила:
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.2 -j DROP
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.3 -j DROP
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.4 -j DROP
В принципе этого должно быть достаточно. Но если человек, использующий 192.168.1.100, имеет доступ (даже физический!) для других машин может иметь смысл предотвратить создание обратных туннелей, и в этом случае я бы добавил следующие правила:
iptables -A FORWARD -s 192.168.1.2 -d 192.168.1.100 -j DROP
iptables -A FORWARD -s 192.168.1.3 -d 192.168.1.100 -j DROP
iptables -A FORWARD -s 192.168.1.4 -d 192.168.1.100 -j DROP
Для этого есть два условия: во-первых, важно, чтобы обмен данными через 192.168.1.100 проходил через маршрутизатор. Другими словами, вы должны подключить 192.168.1.100 к маршрутизатору, а не к коммутатору. Если вы подключите его к коммутатору, поскольку он является внутренним трафиком, коммутатор сможет перенаправлять попытки связи с 192.168.1.100 на другие ПК, подключенные к коммутатору, без прохождения через маршрутизатор, т. Е. Напрямую, и приведенные выше команды никогда не будет применяться. Во-вторых, ПК должны всегда иметь одинаковые IP-адреса; Вы можете достичь этого либо со статическими IP-адресами, либо с зарезервированными IP-адресами, функция, которая устанавливается в графическом интерфейсе вашего маршрутизатора.
РЕДАКТИРОВАТЬ:
Согласно Википедии,
В компьютерных сетях одна сеть уровня 2 может быть разделена для создания нескольких отдельных широковещательных доменов, которые взаимно изолированы, так что пакеты могут проходить между ними только через один или несколько маршрутизаторов; такой домен называется виртуальной локальной сетью, виртуальной локальной сетью или виртуальной локальной сетью.
Ситуация, когда "пакеты могут проходить между ними только через один или несколько маршрутизаторов", является именно той, которую я только что описал. Разница лишь в том, что 192.168.1.100 сможет перехватывать широковещательный трафик. Здесь это не очень полезно, но я все еще могу изменить правила iptables таким образом, чтобы получить этот эффект, если хотите. В остальном решение, которое я описал выше, будет таким же, как и в вашем комментарии.