我在VMWare下安装了Ubuntu。我想设置我们的Mikrotik路由器以阻止此Ubuntu访问本地LAN。我只允许访问外部互联网。
我尝试了很多防火墙规则,但是没有一个起作用。我该如何实现?
答案 0 :(得分:0)
如果您在VMware VM中具有Ubuntu,并且已通过桥接网络连接,则IPv4本质上将能够在不使用路由器的情况下访问同一子网/二层域中的所有内容。发生的情况是VM的IP堆栈将发送ARP请求-ARP WHO HAS到同一子网中的广播地址。请求的目标主机将使用其MAC地址进行回复,并且这两个主机无需路由器即可直接通信。
在Mikrotik上,您可以做的是在另一个子网中创建另一个ipv4地址(例如,如果主要地址为192.168.1.1/24,则为192.168.2.1/24),并为Ubuntu VM的MAC设置静态DHCP租约,因此获取地址192.168.2.50/24并使用192.168.2.1作为其默认网关。然后,您可以在Mikrotik中设置防火墙规则,以阻止192.168.2.1和192.168.1.1之间的通信 -但是,请注意,这实际上并不能阻止LINUX VM上具有Root访问权限的有竞争力的攻击者访问您的LAN-
要正确执行此操作,实际上您需要一个单独的VLAN或一个同时连接到专用网络和LAN网络的Mikrotik / Linux VM作为防火墙。 我不认为这是我可以通过StackOverflow解释的东西...
此外-由于与通用计算而不是编程有关,因此该答案已不在主题之列,因此该表决被否决了。还有另一个类似的论坛,称为“超级用户”,它更适合此类问题。