我正在使用 draytek 2866 路由器,并尝试创建防火墙规则,以便 192.168.1.8 无法访问网络上除网关 192.168.1.1 之外的任何其他设备。但是不确定 draytek 防火墙是否不起作用,或者这是否是配置问题,但它完全没有影响,并且不会在 syslog -> 防火墙下记录任何内容。T防火墙配置在此屏幕截图中。有人可以解释为什么这个防火墙规则不起作用,以及如何防止这个单个 IP 访问网络上的任何其他内容吗?谢谢
AskOverflow.Dev
我正在使用 draytek 2866 路由器,并尝试创建防火墙规则,以便 192.168.1.8 无法访问网络上除网关 192.168.1.1 之外的任何其他设备。但是不确定 draytek 防火墙是否不起作用,或者这是否是配置问题,但它完全没有影响,并且不会在 syslog -> 防火墙下记录任何内容。T防火墙配置在此屏幕截图中。有人可以解释为什么这个防火墙规则不起作用,以及如何防止这个单个 IP 访问网络上的任何其他内容吗?谢谢
根据定义,同一子网内主机之间的流量不经过路由器。
所有 LAN 设备实际上并不直接连接到“逻辑”路由器。在此之前,它们都连接到以太网网络(和/或桥接到它的 Wi-Fi 网络),这是实际的“LAN”,它允许任何设备将数据包直接发送到该以太网上任何其他设备的 MAC 地址 - 此类数据包通过以太网交换机从主机 A 到 B 的直接路径,路由器永远不会看到它们,更不用说记录或过滤它们了。Draytek 的 CPU 只是该以太网网络中的另一个设备,您的设备只有在需要到达其子网之外时才会向其 MAC 地址发送数据包。
(您可能没有专用的以太网交换机,但您的路由器与大多数家用 wifi 路由器一样,所有 LAN 端口都内部连接到交换机,因此情况是一样的:发送到另一个本地设备的 MAC 地址的数据包只会通过该交换机走捷径,路由器永远不会看到。至于 Wi-Fi 设备,它们由路由器的 CPU 桥接到以太网,因此它可以看到通过桥接的数据包……但这不是您的过滤规则运行的地方——它们在 IP 转发阶段工作。)
在没有额外设备的情况下,隔离该设备的唯一可靠方法是将其放入单独的 VLAN - 但这是假设路由器甚至支持 VLAN(并且路由器和设备之间的所有外部以太网交换机也必须支持它们)。
否则,最简单的方法是获得第二个路由器,您可以在其中定义防火墙/过滤规则,并仅将该设备连接到第二个路由器。