Вопрос или проблема
Я использую маршрутизатор Draytek 2866 и пытаюсь создать правило файрвола, чтобы 192.168.1.8 не мог получить доступ к другим устройствам в сети, кроме шлюза 192.168.1.1. Однако не уверен, является ли файрвол Draytek неработоспособным или это проблема конфигурации, но он абсолютно неэффективен и не регистрирует ничего в syslog -> файрвол. Конфигурация файрвола находится на этом скриншоте. Может ли кто-нибудь объяснить, почему это правило файрвола не работает и как предотвратить доступ этого отдельного IP к чему-либо еще в сети? Спасибо
По определению, трафик между хостами в одной подсети не проходит через маршрутизатор.
Все ваши LAN-устройства на самом деле не подключаются напрямую к «логическому» маршрутизатору. Перед ним они все подключены к Ethernet-сети (и/или к Wi-Fi-сети, к ней подключенной), которая является настоящей “LAN” и позволяет любому устройству отправлять пакеты непосредственно на MAC-адрес любого другого устройства на этом Ethernet – такие пакеты идут прямым путем через Ethernet-коммутаторы от хоста A к B, и маршрутизатор никогда их не видит, тем более не регистрирует и не фильтрует. Процессор Draytek является только еще одним устройством в этой Ethernet-сети, и ваши устройства отправляют пакеты к его MAC-адресу только тогда, когда им нужно выйти за пределы своей подсети.
(У вас может не быть выделенного Ethernet-коммутатора, но ваш маршрутизатор, как и большинство домашних Wi-Fi маршрутизаторов, имеет все LAN-порты, подключенные к коммутатору внутренне, так что это одно и то же: пакеты, направленные на MAC-адрес другого локального устройства, просто воспользуются кратчайшим путем через этот коммутатор и никогда не будут «увидены» маршрутизатором. Что касается Wi-Fi-устройств, то они соединены с Ethernet через процессор маршрутизатора, так что он может видеть пакеты, которые проходят через мост… но именно там ваши правила фильтрации не действуют – они работают на этапе IP-пересылки.)
Без дополнительного оборудования единственным надежным способом изолировать это устройство было бы поместить его в отдельный VLAN – но это при условии, что маршрутизатор вообще поддерживает VLAN (и все внешние Ethernet-коммутаторы между маршрутизатором и устройством также должны их поддерживать).
В противном случае, самым простым способом будет приобрести второй маршрутизатор, на котором вы сможете определить правила файрвола/фильтра, и подключить только это устройство ко второму маршрутизатору.
Ответ или решение
Для решения проблемы с изоляцией IP-адреса 192.168.1.8 на маршрутизаторе DrayTek 2866, следует учитывать несколько технических аспектов работы локальных сетей и настройки маршрутизаторов.
Проблема с изоляцией IP-адреса 192.168.1.8
Как вы уже заметили, маршрутизатор DrayTek не фильтрует трафик между устройствами в одной локальной сети (LAN). Это обусловлено тем, что в рамках одной подсети все устройства обмениваются данными напрямую через коммутатор, что происходит без вмешательства маршрутизатора. Таким образом, любые пакеты данных от 192.168.1.8 к другим устройствам в той же подсети проходят мимо маршрутизатора и не могут быть зарегистрированы или отфильтрованы его правилами брандмауэра.
Механизм работы локальной сети
-
Кросс-коммутация: Все устройства, подключенные к маршрутизатору, фактически находятся на одной физической сети. Коммутатор внутри маршрутизатора обрабатывает пакеты, направленные на MAC-адреса устройств в сети. Это значит, что пакеты между ними идут напрямую, а маршрутизатор не участвует в их маршрутизации.
-
Подсетка и маршрутизация: При обмене данными между устройствами в одной подсети маршрутизатор не видит этих пакетов, так как они не направляются к его MAC-адресу. Трафик между хостами в одной подсети не проходит через маршрутизатор, что обуславливает невозможность логирования и фильтрации таких пакетов.
Решения для ограничения доступа
Для того чтобы изолировать устройство с IP-адресом 192.168.1.8 и разрешить ему доступ только к шлюзу (192.168.1.1), рассмотрите следующие подходы:
1. Использование VLAN
- Если ваш маршрутизатор DrayTek и все остальные коммутаторы в сети поддерживают виртуальные локальные сети (VLAN), вы можете настроить изолированную VLAN для устройства 192.168.1.8. Это будет наиболее эффективное и безопасное решение, которое позволит ограничить доступ этого устройства к другим компьютерным ресурсам, сохранив возможность доступа к шлюзу.
2. Второй маршрутизатор
- Если использование VLAN невозможно, вы можете рассмотреть возможность установки второго маршрутизатора. Подключите устройство 192.168.1.8 к этому маршрутизатору и настройте его с помощью правил брандмауэра, которые ограничат доступ к ресурсам сети. Это позволит вам более гибко контролировать доступ этого устройства.
3. Ограничения на уровне прошивки или программного обеспечения
- Некоторые маршрутизаторы позволяют использовать дополнительные функции для управления трафиком, такие как встроенные правила доступа или родительский контроль. Проверьте настройки вашего маршрутизатора и убедитесь, что нет опций, позволяющих ограничивать доступ на уровне самого устройства.
Заключение
Кратко подводя итог, можно сказать, что изоляция IP-адреса в рамках одной подсети требует специальных мер и возможностей, которые выходят за рамки стандартных функций маршрутизаторов DrayTek в случае, если они не поддерживают VLAN. В противном случае, разумным шагом будет использование дополнительного маршрутизатора для более строгого контроля доступа.
Подходя к решению вашей проблемы с учетом вышесказанного, вы можете выбрать наиболее подходящий вариант, который будет соответствовать вашим требованиям и возможностям оборудования.