NAT)の背後にある特定のコンピューターをブロックする方法
私は小さなホステルを経営しており、次のネットワーク構成を持っています。
Router1 (192.168.1.1) ─┬─ (192.168.1.2) Ubuntu Samba+SSH Server
├─ (192.168.1.X) Router 2 (192.168.2.1) ─┬─ (192.168.2.X) GuestPC1
├─ (192.168.1.X) AdminPC1 ├─ (192.168.2.X) GuestPC2
├─ (192.168.1.X) AdminPC2 ├─ (192.168.2.X) GuestPC3
: :
: :
└─ etc. └─ etc.
192.168.1.Xは、192.168.1.2上のいくつかの共有Sambaフォルダーを除いて、ゲストネットワーク(192.168.2.X)からプライベートに保ちたいADMINネットワークです。
静的IPを使用するSamba + SSHサーバーを除いて、両方のネットワーク上のすべてのコンピューターはDHCPを介してIPアドレスを取得します。
192.168.1.0/24のみを許可するようにufwを構成しているにもかかわらず、GuestPCがUbuntu Samba + SSHサーバーにアクセスできることに気付きました。
インターネットで少し調べたところ、ルーター2のNATであるため、GuestPCからの接続が私のADMINネットワークでマスカレードできるようです。したがって、上記のufwルールのみを考えると、GuestPCは制限なしにSambaおよびSSHサービスに完全にアクセスできます。
私の質問は、GUESTネットワーク(192.168.2.X)コンピューターがADMINネットワーク(192.168.1.X)にアクセスするのを防ぐ適切な方法は何ですか?ルーター2を静的IPに設定し、Ubuntuサーバーでufwを使用してそのIPをブロックするよりも良い方法はありますか?
Network1とnetwork2を逆にすることができます。つまり、Officeネットワークを2番目のルーターの背後に配置し、それを配置して、ゲストを最初のルーターに接続します。これはおそらく最も簡単な解決策です(そして、あなたが何らかの方法で行っているdouble-natに問題がないと仮定すると、実行可能です)。
ネットワークが立っているときは、(インターネットに接続された)ルーターのルールを使用してサーバーへのアクセスをブロックすることはできません。トラフィックがそこに到達することはないからです。セカンダリルーターからブロックする可能性があります。
このufwルールを使用している場所(またはそれが何であるか)を指定しませんが、ゲストがSAMBAサーバーにアクセスするのを防ぎたい場合は、少なくともいくつかの選択肢があります[私のようにネットワークを変更しないと仮定します最初の提案]
2番目のルーターでNATを取り除きます。NATをオフにすることに加えて、最初のルーターから192.168.2.0/24のルートをプッシュする必要があります。これにより、IP範囲によって2番目のネットワークを識別し、ルーター2でブロックすることができます。
OR
Router2のWANインターフェイスを静的IPアドレスに変更し、Ubuntuサーバー(および/またはルーター2)でそれをブロックします。
PCに余裕があれば、m0nowallの使用をお勧めします。これは、安全なネットワークアプリケーションに特化したFreeBSDディストリビューションです。 PCに1つ以上のNICを装備すれば、必要な機能があります。