iptables 禁止局域网内某个 IP 访问公网

2017-08-17 21:16:31 +08:00

TossPig

给家里上了个 IP 摄像头，可以用家里的群晖控制，但是这个摄像头有云端功能，还能自己发起 UPnP

很害怕呀

求大神给个规则

摄像头只能和群晖通讯，不能通过其他设备访问，也不能去访问其他设备

局域网：192.168.87.0/24 摄像头：192.168.87.20 ，192.168.87.21 群晖：192.168.87.15

5422 次点击

所在节点

6 条回复

ProjectAmber

2017-08-17 21:27:01 +08:00

禁止访问外网很简单，src 是 192.168.87.20/1 的 drop 了就行。
禁止访问其他内网机器比较麻烦，因为这部分流量不走路由，只走硬件交换机。

popkara

2017-08-17 23:10:46 +08:00

@ProjectAmber 可以单独加一台网管交换机，划 VLAN 做隔离，不过这样的话成本高多不少，不知道 lz 能不能接受。

ysc3839

2017-08-18 07:46:25 +08:00

@ProjectAmber 有个变通方案，在其他内网机器上禁止摄像头 IP 的访问。

lieh222

2017-08-18 08:49:30 +08:00

iptables -t filter -A FORWARD -s 摄像头 ip -j drop

TossPig

2017-08-18 09:12:17 +08:00

@ProjectAmber 192.168.87.20/32 ？

@popkara 刚好手上有台 GS108Ev3 但是 vlan 不会配，谢谢提供思路我去看看

@ysc3839 那是不可控的，，我开放了 vpn 可以访问我内网

@lieh222 谢谢

ProjectAmber

2017-08-18 10:17:58 +08:00

@TossPig 我的意思是 192.168.87.20 及 192.168.87.21 ，造成误解了，抱歉。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.