Windows

通過網關強制 Windows 本地子網流量

  • April 1, 2015

我們正在嘗試將所有流量從某台機器路由到網關。這適用於發往機器子網之外的子網的流量。但是,與源電腦位於同一子網中的電腦的流量會通過 Windows 中的 On-Link 網關。這意味著預設網關被忽略,子網(例如,192.168.50.10 -> 192.168.50.11)中的流量會流動。

Destination Netmask     Gateway     Interface   Metric
192.168.50.0    255.255.255.0   On-link     192.168.50.214  276
  1. 這條路線可以從 Windows 中刪除,但是當機器重新啟動時,它總是會回來。
  2. 向具有較低度量的網關添加持久靜態路由不起作用,因為在持久路由失敗後它仍會嘗試 On-Link 網關。
  3. 由於我們的設置,無法將每台機器添加到 VLAN 中
  4. 添加啟動腳本來刪除網關也不是一個好的選擇,因為使用者將擁有對機器的完全管理員訪問權限,並且可能會禁用該腳本。
  5. 我們不能使用免費 ARP 或透明代理來透明地攔截子網上的所有網路流量,因為子網上還有其他機器使用不同的網關

我們讓它工作的唯一方法是為子網流量添加到網關的持久路由,並在重啟時刪除 On-link 路由。

那麼問題來了。

  1. 有沒有辦法永久刪除這個 On-link 路線
  2. 如果沒有,有沒有辦法強制甚至本地子網流量通過網關?

強制流量通過網關和阻止設備在子網上看到彼此之間是有區別的。我認為你想要做的是後者。可能是因為您想為多個外部客戶託管伺服器。如果您正在編輯路由表以實現此目標,那麼您找錯地方了。

我的建議是使用 ACL 在交換機上處理這個問題。您可以阻止/允許的具體內容取決於您的交換機的功能。另一種選擇是阻止 ARP 廣播,然後為預設網關設置靜態 ARP 條目(從技術上講,有人可以添加更多靜態條目以與其他設備通信)。

另外,請記住,除非網關設置為阻止從該網段到該網段的流量,否則它將很高興地將流量路由回同一網路。

引用自:https://serverfault.com/questions/236599