如何配置路由器以将计算机限制到本地网络并阻止其传入或传出 WAN 访问?我应该研究哪种设置?
我正在使用 Tomato 固件。
答案1
检查家长控制。
我不熟悉 Tomato 设置,但许多固件会允许您使用家长控制来控制和/或计量互联网访问。
您应该能够使用机器的 IP 或 MAC 地址来限制其访问。
我可以使用我的华硕路由器完全阻止访问或者按计划允许访问。
答案2
我不了解 Tomato,但每个合理的路由器都应至少提供以下内容:
- 基于 IP 地址的防火墙规则
- 基于以太网 (MAC) 地址的防火墙规则
- 基于 VLAN 的防火墙规则
因此,您可以通过在路由器中阻止其 IP 地址和以太网地址,轻松阻止相关机器。请注意,这并不完全安全:相关机器的管理员可以更改机器的 IP 地址。现代 NIC 的以太网地址也可以更改。因此可以规避该方法。
另一方面,VLAN 被认为是安全的(除非固件有错误),但对于大多数家庭或小型办公室用户来说并不实用,因为每一个相关PC和路由器之间的网络组件必须支持它们。
例如,如果 PC 连接到交换机,而交换机连接到路由器,路由器需要根据 VLAN 识别 PC,则交换机也必须支持 VLAN。当然,支持 VLAN 的交换机比标准交换机要贵得多。
此外,VLAN 安全性基于以下断言:没有用户可以物理访问路由器或交换机否则,相关 PC 的所有者只需从路由器上拔出网线,将其插入路由器的另一个网络端口,对 PC 进行相应配置,然后即可获得完全访问权限。
因此,如果您处在一个有技术人员和恶人的环境里,您应该将每个网络组件(即交换机、路由器等)放置在除了您之外没有人可以物理访问的位置,您应该使用 VLAN(这意味着每个网络组件都必须支持它们并且必须进行相应的配置),并且您应该将路由器配置为根据 VLAN ID 拒绝或授予访问权限。
但如果您只是想阻止 6 岁的孩子上网,基于 IP 的规则或基于 MAC 的规则就足够了(可能)。
作为附加想法:
很多时候人们想得太复杂了。所以如果你只是想防止有问题的电脑上的某些软件被破解,你可以简单地从该电脑的网络配置中删除网关。
只要你有该电脑的管理权限并且允许运行该软件,这就会相当容易和安全没有管理权限。当然,只有手动配置网络(而不是通过 DHCP 自动配置)才可以删除网关。
最后警告:
如果您拒绝互联网访问,操作系统将无法获取更新。这是一个非常高的风险,即使 PC 未连接到互联网(想想 USB 驱动器上的病毒之类的),所以我真的不会那样做。
如果您详细说明拒绝互联网访问的原因,我们最终将能够提出更好的解决方案......