web-dev-qa-db-ja.com

NAT)の背後にある特定のコンピューターをブロックする方法

私は小さなホステルを経営しており、次のネットワーク構成を持っています。

Router1 (192.168.1.1) ─┬─ (192.168.1.2) Ubuntu Samba+SSH Server
                       ├─ (192.168.1.X) Router 2 (192.168.2.1) ─┬─ (192.168.2.X) GuestPC1
                       ├─ (192.168.1.X) AdminPC1                ├─ (192.168.2.X) GuestPC2
                       ├─ (192.168.1.X) AdminPC2                ├─ (192.168.2.X) GuestPC3
                       :                                        :
                       :                                        :
                       └─ etc.                                  └─ etc.

192.168.1.Xは、192.168.1.2上のいくつかの共有Sambaフォルダーを除いて、ゲストネットワーク(192.168.2.X)からプライベートに保ちたいADMINネットワークです。

静的IPを使用するSamba + SSHサーバーを除いて、両方のネットワーク上のすべてのコンピューターはDHCPを介してIPアドレスを取得します。

192.168.1.0/24のみを許可するようにufwを構成しているにもかかわらず、GuestPCがUbuntu Samba + SSHサーバーにアクセスできることに気付きました。

インターネットで少し調べたところ、ルーター2のNATであるため、GuestPCからの接続が私のADMINネットワークでマスカレードできるようです。したがって、上記のufwルールのみを考えると、GuestPCは制限なしにSambaおよびSSHサービスに完全にアクセスできます。

私の質問は、GUESTネットワーク(192.168.2.X)コンピューターがADMINネットワーク(192.168.1.X)にアクセスするのを防ぐ適切な方法は何ですか?ルーター2を静的IPに設定し、Ubuntuサーバーでufwを使用してそのIPをブロックするよりも良い方法はありますか?

5
silvernightstar

Network1とnetwork2を逆にすることができます。つまり、Officeネットワークを2番目のルーターの背後に配置し、それを配置して、ゲストを最初のルーターに接続します。これはおそらく最も簡単な解決策です(そして、あなたが何らかの方法で行っているdouble-natに問題がないと仮定すると、実行可能です)。

ネットワークが立っているときは、(インターネットに接続された)ルーターのルールを使用してサーバーへのアクセスをブロックすることはできません。トラフィックがそこに到達することはないからです。セカンダリルーターからブロックする可能性があります。

このufwルールを使用している場所(またはそれが何であるか)を指定しませんが、ゲストがSAMBAサーバーにアクセスするのを防ぎたい場合は、少なくともいくつかの選択肢があります[私のようにネットワークを変更しないと仮定します最初の提案]

  1. 2番目のルーターでNATを取り除きます。NATをオフにすることに加えて、最初のルーターから192.168.2.0/24のルートをプッシュする必要があります。これにより、IP範囲によって2番目のネットワークを識別し、ルーター2でブロックすることができます。

    OR

  2. Router2のWANインターフェイスを静的IPアドレスに変更し、Ubuntuサーバー(および/またはルーター2)でそれをブロックします。

4
davidgo

PCに余裕があれば、m0nowallの使用をお勧めします。これは、安全なネットワークアプリケーションに特化したFreeBSDディストリビューションです。 PCに1つ以上のNICを装備すれば、必要な機能があります。

0
MemCtrl