需求就是给外面的伙伴开一个虚拟机让他临时用,但是由于家里设备比较多,且存在一些比较敏感的设备比如摄像头,NAS 等。虽然都有密码保护,但远不如直接隔离或者配置策略禁止访问来的安全。
主路由是 OpenWrt 软路由,可调,虚拟机为 Hyper-V 桥接,也就是目前网络架构是一个软路由拨号的大平层内网。
想让这台主机无法 ping 和连到别的私有主机,假设它的 IP 是 192.168.10.17 ,不能连接除 192.168.10.1 和 192.168.10.5 这两台设备之外的设备。
之前想到并应用的策略是在那台虚拟机内写 iptables ,但是这样只能给伙伴开放非 root 权限了。
 |
1
carrionlee Jul 31, 2022 via iPhone
vlan
|
 |
2
ericbize Jul 31, 2022
看看有没有 交换机 acl 选项
|
 |
3
liuweisj Jul 31, 2022
openwrt 上再创建个 lan 比如 192.168.11.0/24 ,然后 iptables 里限制 2 个网段之间的访问
|
 |
4
winglight2016 Jul 31, 2022
这需求很古怪,你不想他访问局域网其他机器,那么你让他使用局域网里的机器有什么特别意义吗?没有的话,公网 vps 不是更方便?
|
 |
5
cwcc OP @winglight2016 不古怪呀,我家里有计算资源,公网 VPS 成本不小了,而且带宽也没有家里的大。
|
 |
7
chunchu Jul 31, 2022
也想过这么干,但是还没有实施。主要是想把摄像头和小米的设备单独设置一个 vlan
|
 |
8
Marionic0723 Jul 31, 2022 via Android
openwrt 配置防火墙规则,192.168.10.17 ,到 LAN 全部拒绝,然后在这个规则上面(优先级)增加允许 10.1 和 10.15 。
|
|
9
cwcc OP @Marionic0723 这个试过不太行,因为我从这个虚拟机访问同宿主的其他虚拟机好像是不走 openwrt 的。
|
 |
10
misaka19000 Jul 31, 2022 via Android
TPlink 路由器自带访客功能
|
 |
11
FrankAdler Jul 31, 2022 via iPhone  1
我也有这个需求,不过我宿主机是 pve ,感觉需要在宿主机上下功夫,因为有些包可能不过路由
|
 |
12
docx Jul 31, 2022 via iPhone
我用 OpenWRT 是弄两个接入点,一个自己用,另一个给访客开启内网隔离
|
 |
13
asilin Jul 31, 2022 via Android
很简单:
1. 将某一台主机和临时虚拟机划到另外一台网段 2. 在这台拥有两个网段的主机上,做 DNAT ,将临时虚拟机的部分端口(例如 22 端口)映射出来,这样访问原来网段这台机器的 ip ,就会映射到临时虚拟机。 3. 在这台虚拟机上使用 iptables 禁止临时虚拟机访问本机,达到隔离临时虚拟机的目的。 最终,只要临时虚拟机 ip 不乱改动,就无法访问局域网内其他主机,实现你的目的。 当然了,如果对方使用混杂模式抓包,或者为虚拟机增加新的 ip 网段,就有可能突破你的限制,不过,你的朋友会这么做吗? |
 |
14
paradoxs Jul 31, 2022
路由器里面有个访客模式, 通常这个模式下都会带有一个选项 ,叫“禁止访问内网设备”
用这个就行。 |
 |
15
someonesnone Jul 31, 2022 via iPhone
Guest wifi
|
 |
16
bigfei Jul 31, 2022 via Android
hyperv 上设置 guest 的 vlanid ,然后路由器上配置 vlan 之间的 firewall ,block VLAN 的访问即可。
|
 |
17
lonely701 Aug 1, 2022
我能想到的最简单的也很安全的方法,这台主机单独拨号上网,这样就有两个物理上完全隔离的局域网了。缺点是另外需要一台路由器,然后光猫一般来说只有一个千兆口,你外面朋友用的这台机器就只能跑百兆了。
|
|
18
cwcc OP 网络就没有简单的😭感觉再搞十年网络也依然是小白。
|
 |
19
luoshengdu Aug 1, 2022 1
@cwcc 软路由不知道有没有多个物理网口做 lan 口的,如果有,参考图中物理网口 3 [最简单的实现,但是局域网互通性能不好] ;否则在 lan 口添加一个 vlan ,然后在 hyper-v 内增加虚拟机的网络设备填写 vlan 号。 然后防火墙做规则禁止两个网段互通 [vlan 的方式局域网互通性能好]
我的主用网段是 10.1.1.0/24 ; nas 在 10.1.9.x 里面; 172.16 里面放一些实验性的东西。然后做防火墙相互拒绝访问即可  |
 |
20
whyou Aug 2, 2022
@luoshengdu 我觉得你这个思路最可行的。而且本来就不需要这两个接口之间局域网互通的嘛。
|
 |
21
Kowloon Aug 3, 2022 via iPhone
VLAN
|
Select Language