Firewall

阻止網路設備與 LAN 上的其他設備通信

  • April 27, 2012

我一直在使用防火牆/路由器分發 Pfsense 有一段時間了,我一直在試圖弄清楚如何使用拒絕/拒絕 LAN 規則將 LAN 上的伺服器與 LAN 上的其他電腦“隔離”。我嘗試在防火牆->規則->區域網路下添加一條規則,該規則拒絕設備(我的手機,例如 192.168.1.102)向位於 192.168.1.105 的 Web 伺服器發送任何 TCP 數據包。出於某種原因,數據包設法通過了。奇怪的是,如果我將路由器本身指定為目的地,並阻止電話/電腦與其交談,它就可以工作。我已經使用無線筆記型電腦和無線電話對此進行了測試,兩者都在同一個子網上。

我的拓撲如下:

(internet)->(modem)->(pfsense)->(wireless router /w switch)->(wired devices)
                                           |
                                       (Wireless laptop/phone)
| == wifi
-> == wire

無線路由器/交換機是否可能只是將數據包從我的手機中繼到伺服器並完全繞過防火牆(解釋為什麼我的規則不起作用)?如果是這樣,我該如何設置它以使所有 LAN 流量都必須通過我的防火牆才能與網路上的任何其他電腦通信?

此處提供的網路界面圖像 3 代表不允許我發布圖像 :(圖像

如果兩台主機在同一個子網上,則流量沒有理由通過路由器。你的規則永遠不會被應用。這兩個設備連接到交換機(或其他一些第 2 層網路硬體)。主機 A 說“我希望此流量轉到主機 B 的 IP”,而您的交換機說“好的,完成”。

更新:如果 VLAN 是一個選項,請將每個主機放在單獨的 VLAN 中。這樣,您可以在它們之間強制執行路由規則並實現所需的邏輯分離。

也許將有線設備(我假設伺服器位於此處)插入 pfsense 設備將允許您創建第 3 層分段。或者,如果您正在執行一些高端 Cisco 設備,您可以設置私有 vlan

引用自:https://serverfault.com/questions/383588