Как настроить роутер, чтобы ограничить компьютер только локальной сетью и заблокировать его входящий или исходящий доступ к WAN?

Как я могу настроить роутер, чтобы ограничить доступ компьютера только к локальной сети и заблокировать его входящий или исходящий доступ к WAN? На какие настройки мне следует обратить внимание?

Я использую прошивку Tomato.

Проверьте настройки родительского контроля.

Я не знаком с настройками Tomato, но многие прошивки дают возможность контролировать и/или ограничивать доступ в интернет с помощью родительского контроля.

Вы должны иметь возможность использовать IP или MAC-адрес машины, чтобы ограничить её доступ.

Я могу полностью заблокировать доступ или разрешить его по расписанию с моим роутером Asus.

Я не знаю Tomato, но каждый разумный роутер должен предлагать как минимум следующее:

• Правила файрвола на основе IP-адресов
• Правила файрвола на основе Ethernet (MAC) адресов
• Правила файрвола на основе VLAN

Таким образом, вы можете легко заблокировать интересующую вас машину, заблокировав её IP-адрес и её Ethernet-адрес в роутере. Пожалуйста, обратите внимание, что это не совсем безопасно: администратор интересующей вас машины может изменить её IP-адрес.
MAC-адрес современных сетевых карт также можно изменить. Поэтому этот метод можно обойти.

С другой стороны, VLAN считаются безопасными (если в прошивке нет ошибок), но они непрактичны для большинства домашних или малых офисных пользователей, поскольку каждый сетевой компонент между рассматриваемым ПК и роутером должен их поддерживать.

Например, если рассматриваемый ПК подключен к коммутатору, а коммутатор подключен к роутеру, и роутер должен идентифицировать ПК на основе VLAN, то коммутатор также должен поддерживать VLAN. Конечно, коммутаторы с поддержкой VLAN значительно дороже стандартных коммутаторов.

Кроме того, безопасность VLAN основана на предположении, что никто не имеет физического доступа к роутеру или коммутаторам. В противном случае владелец рассматриваемого ПК просто может вытянуть свой сетевой кабель из роутера, подключить его к другому сетевому порту роутера, соответственно настроить ПК и получить полный доступ впоследствии.

Таким образом, если вы находитесь в среде с умелыми и злонамеренными людьми, вы должны разместить каждую сетевую компоненту (т.е. коммутаторы, роутеры и т.д.) в местах, где никто, кроме вас, не имеет физического доступа, использовать VLAN (что означает, что каждая сетевая компонента должна их поддерживать и настроена соответственно) и настроить ваш роутер для отказа или предоставления доступа на основе VLAN ID.

Но если вы просто хотите предотвратить доступ вашего 6-летнего ребенка к интернету, правила на основе IP или MAC будут достаточными (возможно).

Как дополнительная идея:

Люди во многих случаях думают слишком сложно. Если вы просто хотите предотвратить запуск какого-либо ПО на рассматриваемом ПК, вы можете просто убрать шлюз из сетевой конфигурации этого ПК.

Это довольно просто и безопасно, при условии, что у вас есть административный доступ к этому ПК и что вы запускаете это ПО без административных привилегий. Конечно, убрать шлюз возможно только если сеть настроена вручную (а не автоматически через DHCP).

Последнее предупреждение:

Если вы запретите доступ в интернет, операционная система не сможет получать обновления. Это очень высокий риск, даже если ПК не подключен к интернету (подумайте о вирусах на USB-накопителях и т.д.), поэтому я бы этого не делал.

Если бы вы более подробно объяснили причины запрета доступа в интернет, мы в конечном итоге могли бы предложить лучшее решение…