两个交换机上的 8 端口路由器 (4+4)
使用内核 2.6.x
所有以太网客户端都连接到同一子网 (192.168.0.1/24) 上的同一路由器。它们连接到路由器的唯一目的是访问互联网。客户端没有理由相互连接。
是否可以阻止客户端发现和访问路由器上的其他客户端?
这可以通过 ebtables、arptables、自定义 VLAN 配置等来完成吗?
例如,如果物联网设备连接到路由器,我不希望它能够发现或探测其他客户端。
答案1
通常,在这种硬件上,我希望交换机部分由专用硬件组件操作(即嵌入式 Linux 不会看到 8 个独立的接口,并且不会处理桥接)。因此,ebtables/iptables 不会对其产生任何影响。
但将您的计算机放在同一交换机和同一网段 (192.168.0.x) 上的全部目的是允许它们相互通信。
首先,你不能为每台机器分配不同的网络吗?即:每个端口为 192.168.port.0/24(甚至 192.168.port.0/30)。然后,在 IP 级别,机器必须使用路由器相互通信,您可以使用 iptables 来防止这种情况(如果路由器按预期只看到整个交换机的一个端口,则禁止来自该端口的流量并转发)到同一个端口)。
这是最小值,但由于交换机的存在,机器仍然有可能与其他机器进行通信(例如,IP 地址欺骗、IP 以外的其他协议、特制的以太网帧等)。为了更好地隔离(在交换机级别),请使用 VLAN 以确保计算机只能在以太网级别看到路由器。