Estou usando um roteador draytek 2866 e estou tentando criar uma regra de firewall para que 192.168.1.8 não possa acessar nenhum outro dispositivo na rede, exceto o gateway 192.168.1.1. No entanto, não tenho certeza se o firewall draytek não está funcionando ou se é um problema de configuração, mas não tem efeito algum e não registra nada no syslog -> firewall. A configuração do firewall está nesta captura de tela. Alguém pode explicar por que essa regra de firewall não está funcionando e como evitar que esse único IP acesse qualquer outra coisa na rede? Obrigado
relate perguntas
-
Fazendo cliente/servidor com python que funciona fora da minha rede
-
O que causa a perda de pacotes na minha rede?
-
Posso usar o divisor ethernet RJ45 como segunda conexão para o meu pc?
-
Velocidade de upload lenta pela Ethernet do roteador, mas o Wi-Fi está obtendo velocidades máximas
-
Como funciona um NAT atrás de um NAT (NAT do roteador e NAT do ISP)?
Por definição, o tráfego entre hosts na mesma sub-rede não passa por um roteador.
Todos os seus dispositivos LAN não se conectam diretamente ao roteador "lógico". Antes disso, eles são todos conectados a uma rede Ethernet (e/ou uma rede Wi-Fi conectada a ela) que é a "LAN" real, e que permite que qualquer dispositivo envie pacotes diretamente para o endereço MAC de qualquer outro dispositivo naquela Ethernet – tais pacotes seguem o caminho direto através de switches Ethernet do host A para B, e o roteador nunca os verá , muito menos os registrará ou filtrará. A CPU do Draytek é apenas outro dispositivo naquela rede Ethernet, e seus dispositivos apenas enviam pacotes para seu endereço MAC quando precisam alcançar fora de sua sub-rede.
(Você pode não ter um switch Ethernet dedicado, mas seu roteador, como a maioria dos roteadores Wi-Fi domésticos, tem todas as portas LAN conectadas a um switch internamente, então é a mesma coisa: pacotes direcionados ao endereço MAC de outro dispositivo local simplesmente pegarão um atalho por esse switch e nunca serão vistos pelo roteador. Quanto aos dispositivos Wi-Fi, eles são conectados à Ethernet pela CPU do roteador, então ele pode ver os pacotes que passam pela ponte... mas não é aí que suas regras de filtro operam — elas funcionam no estágio de encaminhamento de IP.)
Sem equipamento adicional, a única maneira confiável de isolar esse dispositivo seria colocá-lo em uma VLAN separada – mas isso pressupõe que o roteador suporte VLANs (e todos os switches Ethernet externos entre o roteador e o dispositivo também precisam suportá-las).
Caso contrário, a maneira mais fácil seria obter um segundo roteador onde você pudesse definir regras de firewall/filtro e conectar apenas esse dispositivo ao segundo roteador.