实验室想要实现让一台机器只能访问内网不能访问公网，应该用什么技术实现？

2023-01-28 00:16:51 +08:00

Richard14

实验室计划新采购一台运算机，但是为了限制研究用途，希望实现的效果是运算机与内网各节点可以顺利互相访问，但运算机无法访问外网（无法向外访问）。

实验室现有一台消费级路由器。

因为我们实验室都是菜鸡，想问一下 v 友们这个需求应该用什么技术实现，应该在什么层级实现，比如是应该在路由器界面里限制某局域网 IP 的连接（我看了下似乎并没有禁止互联网但允许局域网的选项）？还是应该用比如 exsi 等技术开虚拟机，并禁止虚拟机访问互联网？还是说直接在虚拟机的系统内部通过某种设置的方式禁止防火墙的所有放行？（机器基本需要 linux ，如果用虚拟化的话需要显卡直通）

有无大佬讲讲，谢谢了。

9656 次点击

所在节点

程序员

59 条回复

wangyu17455

2023-01-28 15:09:28 +08:00

@yolee599 是 post ，默认路由只有在 dhcp 获取到网关之后才出现。这就是为啥要 mkdir 了，有些系统默认没有这个文件夹。

preach

2023-01-28 15:22:14 +08:00

iptables allow 内网 ip
iptables reject all

preach

2023-01-28 15:22:42 +08:00

@preach iptables allow 内网 ip 网段
iptables reject all

mytsing520

2023-01-28 15:25:54 +08:00

看了半天，非得在机器上加？
直接上联分配一个不允许连接互联网的网段用不就行了么？

laqow

2023-01-28 15:33:07 +08:00

没意义，不如给危险用户开虚拟机。除非运算机是以 cluster 节点方式设置的，不然后面 apt-get 都运行不了时就几十万设备闲置了。

CSGO

2023-01-28 16:24:41 +08:00

拔掉网线不行吗？

yankebupt

2023-01-28 18:02:05 +08:00

删默认路由是对的。
但是就不应该有默认路由
这种情况应该需要跳板机
就是专门有一台机器开代理当跳板机，访问控制，SSL 剥了壳出去，代理密码精确到个人。　　　这样可以杜绝各种乱七八糟连接，所有连接有迹可查
密级再高一点我也不知道，反正那种装样子的上网不涉密都是这样搞的

WuSiYu

2023-01-28 20:42:27 +08:00

在出口的路由器上加就可以
在本机上加也是可以的，但你得防止用户能改

不过这都没法完全阻止，只要用户自己的机器有网，并且能连 ssh 过去，那就可以用端口转发让服务器通过自己机器上网

crazyweeds

2023-01-28 20:51:44 +08:00

搞太复杂了。路由器一般都有限制功能，直接限制联网就行了，然后 MAC+IP 绑定起来就完事了。

samersions

2023-01-28 22:33:49 +08:00

OpenWRT 防火墙设置一下规则，把 LAN 区域这台机器 IP 向 WAN 区域的区域间转发 DROP 掉。

systemcall

2023-01-29 04:12:42 +08:00

加个 openwrt 路由器，配置好规则。取决于内网速度，应该要不了多好的机器吧。有两个网口、配置不要太低差不多就行了
建立路由规则，只保留到内网各节点的路由，防火墙到内网各节点的放行，其他的丢掉。开 DMZ
ipv6 的话不知道怎么配置。要求不高的话可以用 socat 提供单向的访问，还可以用 nat66 ，但是不好看
检测代理的话，那你只能上 DPI 了。不过简单一点的办法的话，你可以让流量通过 clash-meta ，之后通过脚本模式把带别的 host 的连接丢掉，似乎可以把 HTTPS 连接丢掉，不清楚能不能丢掉 socks 连接

xuanbg

2023-01-29 08:03:05 +08:00

网关设置成本机的 ip

wslzy007

2023-01-29 08:42:13 +08:00

如果局域网内其它机器能访问互联网那就没有意义，可以通过代理访问到内网那台机器的。

cagev5

2023-01-29 09:17:20 +08:00

买个好点的路由器，直接把 MAC 禁止连接外网即可，不影响内网使用。最优解

explore365

2023-01-29 15:46:05 +08:00

网卡 MAC 可以自定义啊，路由器禁止 MAC 没用

Richard14

2023-01-29 17:16:59 +08:00

@cagev5
@systemcall
@crazyweeds
@WuSiYu 各位都提到改路由，有推荐路由器具体型号吗？我们实验室人比较多，具体需求应该是几台物理机器通过物理网线连接，然后还有不少其他设备通过无线网络连接，同时需要确保比较高的内网速度

systemcall

2023-01-29 17:21:14 +08:00

@Richard14 #56
跑千兆 r2s 就够了吧，要隔离的机器如果只有一台就直连，要是有很多台就接个交换机
我想到你其实可以用 v2ray 或者 clash 来做，而不是传统的基于 iptables 这类的东西做出来的实现
多研究一下，写个规则，做成白名单吧

llbbzh

2023-01-29 18:40:23 +08:00

我感觉最简单的方法就是，再搞一个内部的小内网，把这台机器和其它几台需要它连接的机器组起来就行了

crazyweeds

2023-02-01 00:09:51 +08:00

@Richard14 多少设备数？如果少于 50 的话，直接华硕 AC86U 就完事了。

第 3 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/910930

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.