防止在特定连接上连接到特定 IP

防止在特定连接上连接到特定 IP

问题就在这里。我的 DEV 机器上有两个网络连接。

LAN - 连接到建筑网络和互联网。IP 由 DHCP 分配,为 192.168.30.XX。

LOCAL - 连接交换机,交换机上有一台测试机,IP 为 192.168.25.100,测试机 IP 为 192.168.25.2。

现在我远程重新启动测试机器,然后 ping 一下看看它何时重新启动。

问题是,昨天有人(可能是意外地)向大楼局域网添加了一台 IP 为 192.168.25.2 的机器,所以现在当我的测试机器重新启动并 ping 它时,我会收到来自局域网上这台远程机器的响应,我的软件认为测试机器已备份,并尝试登录。这显然会失败,因为不是测试机器在响应,而且它仍在重新启动中。

我的问题是,我该如何:

  1. 阻止所有针对 192.168.25.2 的请求通过 LAN 发出,或者
  2. 强制所有对 192.168.25.2 的请求通过 LOCAL 发出

更新: 我认为最好的解决方案是修改路由表,以便发往 192.168.25.2 的数据包在一个接口上被阻止,而在另一个接口上静态路由。

问题是,我可以使用这个添加静态路由:

route add 192.168.25.100 mask 255.255.255.255 192.168.25.2

但是,如果该静态路由失败,Windows 仍会自动恢复至 LAN 并尝试在那里 ping 操作。

有没有办法阻止到路由表中特定接口或网关的流量?

答案1

不确定为什么我之前没有想到这一点,但最简单的解决方案就是在 Windows 防火墙内创建一个自定义规则,以阻止在某个接口或连接类型上往返于指定 IP 的连接。

更新:这实际上也没有解决问题。这只会导致 ping 返回“常规失败”,而不是超时或无法到达目标。“常规失败”会导致 C# 中出现异常,我必须编写一个处理程序来捕获它。

再说一次,我可以编写一个异常处理程序,但这不是很优雅。

答案2

如果有人在网络上“添加了一台机器”并为其指定了 DHCP 范围之外的静态 IP 地址,那么他们可能还会遇到其他问题... 由于位于不同的子网上,无法连接到打印机/其他机器/其他奇怪的问题。找出这个人是谁并正确设置他们的 PC(即在 DHCP 上!)。

检查您的服务器,确认 DHCP 范围设置正确,然后查看是否有“恶意”PC 的租约。如果发现,则将其过期。然后为您想要在不同子网上使用的 PC 添加 DHCP 例外(如果它们尚未存在)。在执行任何这些操作后,刷新服务器上的 DNS 可能也是个好主意。

如果您不是网络管理员,那么就让他们参与进来——如果人们不知道如何操作,他们就不应该在您的网络上设置 PC!

正如您已经知道的那样 - 阻止 IP 地址的最佳方法是将其添加到防火墙中,您也可以将例外添加到防火墙中...

相关内容