在 Mikrotik 上阻止 PC 访问本地 LAN
Block PC to access local LAN on Mikrotik
我在 VMWare 下安装了 Ubuntu。我想设置我们的 Mikrotik 路由器来阻止此 Ubuntu 访问本地 LAN。我只想允许访问外部互联网。
我尝试了很多防火墙规则,但其中 none 行得通。我怎样才能做到这一点?
如果您在 VMware VM 中有 Ubuntu,并且它通过桥接网络连接,则 IPv4 的本质将能够访问同一 subnet/layer2 域中的所有内容,而无需访问路由器。发生的是 VM 的 IP 堆栈将发送一个 ARP 请求 - ARP WHO HAS 到同一子网中的广播地址。请求的目标主机将回复它的 MAC 地址,两台主机无需路由器直接通信。
在 Mikrotik 上,你可以做的是在另一个子网中创建另一个 ipv4 地址(例如,如果 192.168.1.1/24 是你的主网,则为 192.168.2.1/24)并为你的 Ubuntu VM 的 MAC 所以它获得地址 192.168.2.50/24 并使用 192.168.2.1 作为它的默认网关。然后你可以在 Mikrotik 中设置防火墙规则来阻止 192.168.2.1 和 192.168.1.1 之间的流量
- 但是请注意,这实际上并不能阻止在 LINUX VM 上具有 ROOT 访问权限的合格攻击者访问您的 LAN -
要正确执行此操作,您实际上需要一个单独的 VLAN 或连接到专用网络和 LAN 网络的 Mikrotik/Linux 虚拟机,充当两者之间的防火墙。
我不认为这是我可以在 Whosebug 上解释的事情...
另外 - 这个答案被否决了,因为它与一般计算而不是编程有关,因为它是题外话。还有一个类似的论坛叫超级用户更适合这类问题。
我在 VMWare 下安装了 Ubuntu。我想设置我们的 Mikrotik 路由器来阻止此 Ubuntu 访问本地 LAN。我只想允许访问外部互联网。
我尝试了很多防火墙规则,但其中 none 行得通。我怎样才能做到这一点?
如果您在 VMware VM 中有 Ubuntu,并且它通过桥接网络连接,则 IPv4 的本质将能够访问同一 subnet/layer2 域中的所有内容,而无需访问路由器。发生的是 VM 的 IP 堆栈将发送一个 ARP 请求 - ARP WHO HAS 到同一子网中的广播地址。请求的目标主机将回复它的 MAC 地址,两台主机无需路由器直接通信。
在 Mikrotik 上,你可以做的是在另一个子网中创建另一个 ipv4 地址(例如,如果 192.168.1.1/24 是你的主网,则为 192.168.2.1/24)并为你的 Ubuntu VM 的 MAC 所以它获得地址 192.168.2.50/24 并使用 192.168.2.1 作为它的默认网关。然后你可以在 Mikrotik 中设置防火墙规则来阻止 192.168.2.1 和 192.168.1.1 之间的流量 - 但是请注意,这实际上并不能阻止在 LINUX VM 上具有 ROOT 访问权限的合格攻击者访问您的 LAN -
要正确执行此操作,您实际上需要一个单独的 VLAN 或连接到专用网络和 LAN 网络的 Mikrotik/Linux 虚拟机,充当两者之间的防火墙。 我不认为这是我可以在 Whosebug 上解释的事情...
另外 - 这个答案被否决了,因为它与一般计算而不是编程有关,因为它是题外话。还有一个类似的论坛叫超级用户更适合这类问题。