LINUX.ORG.RU
ФорумAdmin

Как разрешить машине выходить только в локальную сеть, но не интернет?

 , ,


0

3

Приветствую. Задача такая: нужно запретить конкретной машине в сети выход в интернет, но чтобы при этом работала локальная сеть и связь между машинами. Подключено всё к роутеру на OpenWRT. Каким образом это можно реализовать?

правилами файервола, запретить все адреса, кроме локальной подсети

Harald ★★★★★
()

Запрети на роутере выход в интернет с этого IP (или MAC).

anonymous
()

Не определяй на исх. машине default gateway

futurama ★★★★★
() 
iptables -I FORWARD 1 -s <lan ip> -o <wan interface> -j DROP

Как оно в зональном fw у openwrt делается не подскажу.

anonymous
()

Про файрвол сказали уже?

Zhbert ★★★★★
()
Ответ на: комментарий от ZenitharChampion

А что помешает его указать на той машине руками?

Dark_SavanT ★★★★★
()

Скажу как в одном ооочень крупном здешнем провайдере делали - не прописывали DNS :-) Не я делал, и не я там работал, мне просто довелось прикоснуться к некоторым их сервакам.

gnunixon ★★★
()

столько звезд и такой вопросище…..

Как разрешить машине выходить только в локальную сеть, но не интернет?

и в конце то концов надо писать:

Как ЗАПРЕТИТЬ машине выходить в интернет? Русский не родной?

+100500 Фаервол, и чтоб прав не было админских, а то все можно посмотреть у соседа и прописать ручками изменив и gateway и dns

alex_sim ★★★★
()

  • Не указывать адрес шлюза

  • Запретить менять настройк и сети

  • Залить эпоксидкой USB, чтобы не воткнули внешний модем или сетевую карту

  • Кабель локальной сети вставить и залить эпоксидкой, чтобы не могли воткнуть в другой роутер

  • Сказать машине «я запрещаю тебе! ты! не! пройдёшь!»

  • посадить рядом человека, который следил бы за пользователем, чтобы тот не придумал чего.

Это даст гарантию примено 50%

Alve ★★★★★
()
Ответ на: комментарий от Alve

Забыли добавить тренера по боксу, а то за такое просто бьют. Вы такой вариант не рассматриваете?

anonymous
() 
iptables -I FORWARD -i $LAN_IFACE -s $IP -j DROP

где $LAN_IFACE - локальный интерфейс на роутере, $IP - IP-адрес машины, для которой нужно запретить выход в Интернет.

Естественно, предполагается, что смена IP-адреса машины пользователем невозможна.

Нужно, впрочем, понимать, что данный запрет пользователь может обойти - например, настроив прокси на одной из других машин локальной сети, доступ которой в Интернет разрешен.

Или просто использовав мобильный интернет с телефона.

Serge10 ★★★★★
()

Злой ты админ. :) Первое что пришло на ум - правило deny в forward. Ну, или запретить путь к default route. ps: у этого ip закончилось пыво?

hbars ★★★★★
()
Последнее исправление: hbars (всего исправлений: 1)
Ответ на: комментарий от Serge10 
iptables -I FORWARD -i $LAN_IFACE -s $IP -j DROP

где $LAN_IFACE - локальный интерфейс на роутере, $IP - IP-адрес машины, для которой нужно запретить выход в Интернет.

Естественно, предполагается, что смена IP-адреса машины пользователем невозможна.

Мало того. Он может другую сетевуху воткнуть, или mac поменять.

Нужно, впрочем, понимать, что данный запрет пользователь может обойти - например, настроив прокси на одной из других машин локальной сети, доступ которой в Интернет разрешен.

Нафига тогда админ.

Или просто использовав мобильный интернет с телефона.

Тогда вступают в ход административные меры.

hbars ★★★★★
()
Ответ на: комментарий от hbars

Мало того. Он может другую сетевуху воткнуть, или mac поменять.

Если на свитче есть привязка порта к MAC-адресу, то подобные действия не помогут.

Тогда вступают в ход административные меры.

Ну да, собственно говоря, именно об этом речь и идет - чисто техническими методами задача не решается.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Ну если сеть не большая можно раздать статику и разрешить только им.

hbars ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin