H大padavan可否禁网内某IP访问其他内网资源？

csl*** · 发表于 2018-12-5 21:19

H大padavan可否禁止内网某IP访问其他内网资源？也就是只允许其上网，不允许访问内网其他电脑的共享、路由管理页面、等等
如果可以，该怎么设置？谢谢

影迷*** · 发表于 2018-12-5 22:43

给他来访客网络不就行了

csl*** · 发表于 2018-12-6 07:21

是有线连接，出租房，给房客的网线

旁观*** · 发表于 2018-12-6 08:10

我不懂技术但我觉得可以用简单粗暴的办法再加个路由

qy*** · 发表于 2018-12-6 08:28

padavan的访客网络，没办法屏蔽内网资源，请知悉。

brax*** · 发表于 2018-12-6 09:34

看看有没有内网隔离的选项，有就开启，没有的话淘个二手的二层千兆24口交换机也就200块钱

ken*** · 发表于 2018-12-6 09:40

qyzjj 发表于 2018-12-6 08:28
padavan的访客网络，没办法屏蔽内网资源，请知悉。

这样的吗？

199*** · 发表于 2018-12-6 11:09

qyzjj 发表于 2018-12-6 08:28
padavan的访客网络，没办法屏蔽内网资源，请知悉。

可以屏蔽，访客网络版设置内网隔离，访客网络界面设置一下就行

csl*** · 发表于 2018-12-6 12:11

看来除了无线连接开启访客网络这个办法，有线的话就只能加设备了？

jun*** · 发表于 2018-12-6 20:17

防火墙里有一个网络服务过滤，好像可以禁用相关端口，自己试试吧

LGA*** · 发表于 2018-12-6 20:44

csl0524 发表于 2018-12-6 12:11
看来除了无线连接开启访客网络这个办法，有线的话就只能加设备了？

可以用 switch 里的 acl 命令设置内置交换机的访问控制

sup*** · 发表于 2018-12-6 23:59

本帖最后由 supppig 于 2018-12-7 00:14 编辑

新建一条链 AAA
iptables -I INPUT -m physdev --physdev-in lan4 -j AAA 其中LAN4不知道是不是正确的，自己验证

然后在AAA里面，-d 192.168.123.1的特定的端口RETURN，例如dns的53，dhcp的67.68等等，自己查资料。其余的drop，这样就可以禁止访问本机端口
再加个脚本，5分钟检查一次，以免S-S R等干扰了这个规则。注意AAA必须在INPUT的第一条。具体方法可以用crontab，不过更加建议像H大一样用守护进程。参考H大的脚本吧。

不允许访问内网其他电脑的共享，就在FORWARD里用类似的方法，-d 192.168.123.0/24的drop就行了。

只提供思路，具体的自己去实现。

LGA*** · 发表于 2018-12-7 00:58

supppig 发表于 2018-12-6 23:59
新建一条链 AAA
iptables -I INPUT -m physdev --physdev-in lan4 -j AAA 其中LAN4不知道是不是正确的， ...

不行的，有线口内网共享只经过内置交换机，不经过 CPU

sup*** · 发表于 2018-12-7 08:35

LGA1150 发表于 2018-12-7 00:58
不行的，有线口内网共享只经过内置交换机，不经过 CPU

1、所谓的内置交换机，是一个功能模块。什么不经过CPU，什么逻辑。
2、没试过没有发言权。不信你敲一个iptables -I INPUT -j DROP，你看你能访问路由不？

jun*** · 发表于 2018-12-7 09:05

本帖最后由 junqhs 于 2018-12-7 09:07 编辑

我又想了想，感觉大家都走偏路线了。。。

其实这个用账户密码就能解决问题。
改路由器的ip地址（比如192.168.233.233）和内网访问端口号（系统管理——服务——内网访问，比如2333），让别人找不到就行。

FTP服务，设置账户密码，可以设置有读写权限的自己用账户，和访客账户，别给不想让他知道的就行。
SMB服务，现在H大的也开启了2.0模式，必须要设置账户才能访问。
电脑端也在共享网络里设置，很多设备都有自动记录密码功能，比如es管理器、ios的nplayer等。

这也是解决的一种途径，供参考。

账号		自动登录	找回密码
密码			立即注册

H大padavan可否禁网内某IP访问其他内网资源？

相关帖子