实验室想要实现让一台机器只能访问内网不能访问公网,应该用什么技术实现?

2023-01-28 00:16:51 +08:00
 Richard14

实验室计划新采购一台运算机,但是为了限制研究用途,希望实现的效果是运算机与内网各节点可以顺利互相访问,但运算机无法访问外网(无法向外访问)。

实验室现有一台消费级路由器。

因为我们实验室都是菜鸡,想问一下 v 友们这个需求应该用什么技术实现,应该在什么层级实现,比如是应该在路由器界面里限制某局域网 IP 的连接(我看了下似乎并没有禁止互联网但允许局域网的选项)?还是应该用比如 exsi 等技术开虚拟机,并禁止虚拟机访问互联网?还是说直接在虚拟机的系统内部通过某种设置的方式禁止防火墙的所有放行?(机器基本需要 linux ,如果用虚拟化的话需要显卡直通)

有无大佬讲讲,谢谢了。

9829 次点击
所在节点    程序员
59 条回复
julyclyde
2023-01-28 08:55:26 +08:00
在最出口的路由器上
route add 这台机器的 IP reject
就行了
dashab
2023-01-28 09:03:22 +08:00
方案一 通过主机配置如设置防火墙或改 dhcp 之类的,缺点是用户可以自己修改或者不给 root 权限让用户改不了
方案二 在路由器中设置某些允许的 mac 地址可以上网
方案三 不知道你啥层的路由器,是不是可以把某个网段配置成不能上网外网,只能内网互联
不是专门搞网络的也不知道上面三个方案是否可行,只是感觉可行
tinybaby365
2023-01-28 09:07:59 +08:00
单独一个路由器搞一个独立网段,路由器上只配置访问其他内网网段的路由。
为了安全性,可以考虑再加一个堡垒机。只有通过堡垒机才能访问你这台机器。
ik
2023-01-28 09:15:51 +08:00
一般路由器都有”防火墙”的类似配置选项,黑名单加强对应的 ip 或者 mac 地址。

内网只有一个子网的话像楼上说的不写网关也可以。多个子网再手写路由。
psiKENT
2023-01-28 09:42:51 +08:00
看具体情况。
如果你的内网指的是校园网,那就在运算机配置好路由和本机防火墙的前提下,针对要运行的软件新建专门的用户,通过严格的权限控制阻止运算机网络底层和防火墙配置被更改。
如果是自己组内网,那方法就多了,可以通过控制所有节点路由+权限管理的方式来控制,或者通过网关 ACL 等,不一一列举。
C0nvN3t
2023-01-28 09:49:47 +08:00
AC 或者 AF 上配一下规则 针对 mac 或固定 ip
byte10
2023-01-28 09:50:41 +08:00
如果是研究所用的话,就只允许它连接内网的 2-3 台机器呗。或者重新模拟一个内网环境,单独给这个实验项目所使用不就可以了吗?
zzutmebwd
2023-01-28 09:57:51 +08:00
内网能访问+内网其他机器能访问外网=一个跳板就能访问,没有任何意义。
zzutmebwd
2023-01-28 09:58:35 +08:00
如果要在路由上操作,openwrt 基础操作了,防火墙 ban 掉即可
SAGAN
2023-01-28 10:06:49 +08:00
我在自己家路由器上弄过这个(目的是阻止破解的 ps4 联网。。),就是几条 iptables 规则:

ipset create blnet hash:net
ipset create macblnet hash:mac

iptables -t mangle -I PREROUTING -m set --match-set blnet src ! -d 192.168.0.0/16 -j DROP
iptables -t mangle -A PREROUTING -m set --match-set macblnet src,src ! -d 192.168.0.0/16 -j DROP

其中 192.168.0.0/16 是你的局域网网段。

然后把想要禁止联网机器的 IP 地址或 MAC 地址加到 blnet / macblnet 的 ipset 里即可,例如:

ipset add blnet 192.168.1.100
ipset add macblnet 00:11:22:33:44:55

但是这种方式只建议用于自己控制的设备。如果要做到网络安全意义上的隔离,需要用 vlan 之类的。
abbottcn
2023-01-28 10:08:04 +08:00
物理隔离
hlbcpt
2023-01-28 10:08:12 +08:00
消费级的路由器一般都有 Mac 地址过滤,加入到黑名单就好了。
kingleid
2023-01-28 10:16:16 +08:00
消费级的路由器也是有黑名单的直接黑名单那台设备就行了
zxsa
2023-01-28 12:49:57 +08:00
做好基本防护就好,代理防不住,不如从管理方面着手。
机器单独放在一个小房间内,安装门禁,进入房间需要申请,定期审计进入记录,一个近景摄像头,拍摄键盘屏幕和鼠标,一个全景摄像头拍摄全屋,进入房间前需要确认摄像头工作正常,操作时必须双人确认,操作前后填写台账后并签字。对于漏填错填篡改有意污损台账,伪造签名,规避摄像头者进行处分,必要时追究双人刑事责任。
TheNine
2023-01-28 13:06:32 +08:00
最有效的办法还是内网和外网进行物理隔离
zxsa
2023-01-28 13:08:39 +08:00
受限于保密协议,要不然想让大家看看我现在这个公司的规定,安全部的那些人几乎把各种人能想到的漏洞都堵上了,搞骚操作,不可能的,除非你能把高层拉下水。
可以参考一下这个
http://www.pbc.gov.cn/kejisi/146812/146814/2899523/index.html
pinkbook
2023-01-28 13:25:28 +08:00
考虑合法用户的合规操作,如上面所说只需要修改路由表或 iptable 规则即可。
如果要防止违规操作,比如修改路由,代理上网等。需要详细且安全的使用规则和操作审查,以及专门网络安全人员的定时巡检排查,再加上对网络流量的审计与机器资源的监控
ccadb
2023-01-28 13:33:18 +08:00
个人理解:要想绝对安全,内外网隔离;如果只是让不能上外网,出口路由器换成防火墙,写策略即可。不知道你说的“运算机与内网各节点可以顺利互相访问”是否一般就是指访问共享文件夹、打印机、数据库,如果是这样的话,也可以在防火墙上写策略,让局域网内电脑之间互访只限于特定端口。
ashuai
2023-01-28 14:30:47 +08:00
正经的做法是在路由器上开 mac addr 白名单。

都是菜鸡的话,把网关和 dns 都改成错的就行了
yolee599
2023-01-28 15:04:41 +08:00
@wangyu17455 #3 是 if-pre-up 吧?没有 if-post-up 。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/910930

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX