在我的本地网络中,所有 PC 都连接在同一个子网 ( 192.168.0.x)。
我有一台连接到交换机 B 的机器,它被分配了一个静态 IP(例如192.168.0.10)。同一本地网络中的任何 PC 都可以从浏览器访问它并查看其菜单。我想要限制对它的访问,以便某些 PC 能够访问它。
我该怎么做?例如,我希望 IP192.168.0.10仅对具有 IP 的 PC 可见192.168.0.5,并且192.168.0.6
目标机器(192.168.0.10)是一台机器(在工厂中),我不知道它正在运行什么 Web 服务器,也不知道我是否可以编辑它的设置。
我可以在路由器中添加设置吗?
答案1
最常见的解决方案是使用目标的防火墙。这里的“目标”将是 IP 为 的机器192.168.0.10。您需要拥有该机器的管理员访问权限。
您需要执行以下其中一项操作:
- 阻止来自不得访问目标的 IP 的所有传入连接
- 仅允许来自可以访问目标的 IP 的传入连接
例如在 *NIX 机器上,使用iptables:
iptables -A INPUT -s 192.168.0.5 -j ACCEPT
iptables -A INPUT -s 192.168.0.6 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -j REJECT --reject-with icmp-host-prohibited
请注意,您的问题非常广泛,因此这个答案可能不适用。
编辑:给出了额外的信息,这个答案是不适用。
答案2
不幸的是,在路由器上没有办法做到这一点:只有一个子网,所以任何流量都直接在电脑之间传输,而不是通过路由器。
您最好的选择是遵循 Nathan Shiraini 的指示并限制目标机器而不是路由器上的流量。
当然,还有其他可能性,即添加另一个子网并通过路由器将数据包路由到该子网,但这些在很大程度上取决于路由器的功能。
如果您的路由器是普通家用/小型企业路由器,则很可能无法实现该场景。如果您的路由器只有少量 L3(路由)接口或专用 DMZ 端口,或者您未使用 WAN 端口,则您可能能够将机器连接到该端口并限制路由器上的流量。