iptables 保护离网设备

iptables 保护离网设备

假设我家里有两个设备:

  • 一个没有连接到以太网,因为我不想被黑客入侵。
  • 另一台是可以上网的经典电脑。

我想在不造成泄露的情况下获取离网设备的状态。我有一些个人数据,但不想将它们发布到互联网上。

我想要做的是以下方案:

+------------+            +------------+            +------------+            +------------+
|  Off-grid  |------X-----|  One-way   |------X-----|  Internet  |-----<------|    The     |
|   device   |------>-----|  Router    |------>-----|   Router   |----->------|  Internet  |
+------------+            +------------+            +------------+            +------------+
                                                     -----   |                              
                          +------------+     ---<---/   -----|                              
                          |   My PC    |----/ ---->----/                                    
                          |            |-----/                                              
                          +------------+                                                    

                                                                                            

我添加了一个单向路由器(基本上是带有两个以太网端口的设备),它可以:

  • 允许离网设备发送以太网数据包
  • 禁止 eth 数据包前往离网设备
  • 将以太网数据包转发到互联网路由器
  • 禁止数据包从 Internet 路由器发送到单向路由器
  • 单向路由器配置将通过串行连接进行

看起来iptables会像这样:

# Disable forwarding of packets between interfaces by default
echo 0 > /proc/sys/net/ipv4/ip_forward

# Drop all incoming packets on eth1
iptables -A INPUT -i eth1 -j DROP

# Drop all outgoing packets on eth0
iptables -A OUTPUT -o eth0 -j DROP

# Forward all packets from eth0 to eth1
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

我的问题很简单,这样有用吗?如果可以,黑客有没有办法访问受保护的设备?

相关内容