Limitar o serviço a uma LAN específica em uma máquina Linux conectando duas LANs?

Meu entendimento é que, se eu não adicionar nada ao netfilter/iptables/nftables, um kernel linux padrão passará as solicitações enviadas para o endereço IP da NIC B dos vizinhos da NIC A (LAN A). E a caixa funcionará como um roteador, por padrão. Isso é correto?

Quase. O encaminhamento entre segmentos de LAN pode ser habilitado ou desabilitado no kernel. Você pode verificar /proc/sys/net/ipv4/ip_forwardse ele está habilitado para IPv4 (e você pode configurá-lo escrevendo 0ou 1neste pseudo-arquivo).

Além disso, o que muitas pessoas esquecem é que o roteamento deve funcionar para todos os participantes. Por exemplo, máquinas na LAN A precisarão saber que para endereços IP na LAN B, os pacotes primeiro precisarão ir para 192.168.1.3 para alcançar sua máquina com duas NICs. Se 192.168.1.3 for o gateway (rota padrão) para todas as máquinas na LAN A, isso acontecerá automaticamente. Caso contrário, as máquinas na LAN A precisam de informações de roteamento adicionais (que, por exemplo, podem ser distribuídas por DHCP).

Além disso, o iptables não está roteando . Muitas pessoas leem tutoriais que usam iptablespara roteamento e depois confundem os dois. iptablesé para filtragem (ou seja, um firewall). Você pode rotear sem ter iptablescompilado no kernel.

Portanto, no seu cenário: Se você deseja manter os hosts na LAN A ignorando os hosts na LAN B (e vice-versa), apenas desative o roteamento na máquina com duas NICs. Se eles puderem ver uns aos outros em princípio, exceto para o serviço da web em 192.168.2.5:80, então você precisará de regras de filtragem sobre o roteamento para excluir exatamente esse serviço da web.

E todo o cenário pode ficar mais complicado dependendo de como a LAN A e a LAN B devem acessar "a Internet".

(Conselho geral: Se você quiser perguntar alguma coisa sobre rede, primeiro desenhe um diagrama de rede com todas as partes importantes).

Um roteador doméstico típico tem um login da Web aberto para LAN (LAN B na pergunta original) e acho que, por padrão, esse login não é acessível via WAN (LAN A).

Neste caso, o roteador já está configurado de forma diferente: O lado da LAN usa um intervalo de IP de endereço privado, e esses IPs não deveriam aparecer no lado da WAN (porque existem várias LANs privadas conectadas a esta WAN, que todos poderiam usar os mesmos endereços). Assim, o roteador faz a tradução de endereços de rede (NAT): Para cada solicitação de entrada da LAN A endereçada à WAN, essa solicitação será inserida em uma tabela (rastreamento de conexão) e todos os pacotes de saída e de entrada para essa solicitação serão modificados, substituindo o Endereço IP (e porta) na LAN a com o endereço IP que o roteador tem na WAN (e uma porta escolhida aleatoriamente para esta conexão).

Isso por si só impede que qualquer coisa na WAN inicie conexões com qualquer coisa na LAN A, incluindo a interface do roteador na LAN A.

Além disso, você tem regras de firewall que impedem que qualquer coisa recebida da WAN seja roteada para a LAN A, exceto aquelas conexões originadas na LAN A.

E se você quiser permitir isso, você precisa configurar o "encaminhamento de porta".

Nesse caso, qual mecanismo impede o login da WAN?

Portanto, no cenário acima, o servidor de login apenas se vincula apenas ao endereço IP na LAN A.

Eu acho que por padrão o Linux deve permitir o acesso, (e ip_forward é uma opção irrelevante para este caso específico) então deve haver algumas regras de firewall que proíbem isso, correto?

Em princípio, sim, mas veja os detalhes descritos acima (NAT em cima das regras de firewall).