iptables 禁止局域网内某个 IP 访问公网

2017-08-17 21:16:31 +08:00
 TossPig

给家里上了个 IP 摄像头,可以用家里的群晖控制,但是这个摄像头有云端功能,还能自己发起 UPnP

很害怕呀

求大神给个规则

摄像头只能和群晖通讯,不能通过其他设备访问,也不能去访问其他设备

局域网:192.168.87.0/24 摄像头:192.168.87.20 ,192.168.87.21 群晖:192.168.87.15

5450 次点击
所在节点    问与答
6 条回复
ProjectAmber
2017-08-17 21:27:01 +08:00
禁止访问外网很简单,src 是 192.168.87.20/1 的 drop 了就行。
禁止访问其他内网机器比较麻烦,因为这部分流量不走路由,只走硬件交换机。
popkara
2017-08-17 23:10:46 +08:00
@ProjectAmber 可以单独加一台网管交换机,划 VLAN 做隔离,不过这样的话成本高多不少,不知道 lz 能不能接受。
ysc3839
2017-08-18 07:46:25 +08:00
@ProjectAmber 有个变通方案,在其他内网机器上禁止摄像头 IP 的访问。
lieh222
2017-08-18 08:49:30 +08:00
iptables -t filter -A FORWARD -s 摄像头 ip -j drop
TossPig
2017-08-18 09:12:17 +08:00
@ProjectAmber 192.168.87.20/32 ?


@popkara 刚好手上有台 GS108Ev3 但是 vlan 不会配,谢谢提供思路我去看看


@ysc3839 那是不可控的,,我开放了 vpn 可以访问我内网


@lieh222 谢谢
ProjectAmber
2017-08-18 10:17:58 +08:00
@TossPig 我的意思是 192.168.87.20 及 192.168.87.21 ,造成误解了,抱歉。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/383795

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX