实验室想要实现让一台机器只能访问内网不能访问公网,应该用什么技术实现?

2023-01-28 00:16:51 +08:00
 Richard14

实验室计划新采购一台运算机,但是为了限制研究用途,希望实现的效果是运算机与内网各节点可以顺利互相访问,但运算机无法访问外网(无法向外访问)。

实验室现有一台消费级路由器。

因为我们实验室都是菜鸡,想问一下 v 友们这个需求应该用什么技术实现,应该在什么层级实现,比如是应该在路由器界面里限制某局域网 IP 的连接(我看了下似乎并没有禁止互联网但允许局域网的选项)?还是应该用比如 exsi 等技术开虚拟机,并禁止虚拟机访问互联网?还是说直接在虚拟机的系统内部通过某种设置的方式禁止防火墙的所有放行?(机器基本需要 linux ,如果用虚拟化的话需要显卡直通)

有无大佬讲讲,谢谢了。

8775 次点击
所在节点    程序员
59 条回复
wangyu17455
2023-01-28 00:24:25 +08:00
mkdir -p /etc/network/if-post-down.d/
echo -e "ip r del default\nip -6 r del default" > /etc/network/if-post-down.d/ban
chmod +x /etc/network/if-post-down.d/ban
重启完事
datocp
2023-01-28 00:25:22 +08:00
这种东西还是属于权限问题,以及是否有人会搞破坏
1,电脑配置 ip 不配置网关,但是高手会用代理出去
2,电脑布置防火墙,指定 acl 访问控制
3,网关用 openwrt ,使用 iptables 防火墙可以针对电脑 ip+mac 地址进行屏蔽,拒绝外网访问。

当然都防不了挂代理。。。
wangyu17455
2023-01-28 00:29:03 +08:00
把命令里的 if-post-down 都改成 if-post-up ,tab 补全+闭着眼复制粘贴害人啊😡
xuegy
2023-01-28 00:31:02 +08:00
唯一的办法:
涉密不上网,上网不涉密。
whileFalse
2023-01-28 01:01:05 +08:00
最简单的方法是把运算机的网关填一个错的。
qwq11
2023-01-28 01:06:10 +08:00
iptables -I FORWARD -s 你的机器 ! -d 你的子网范围 /24 -j DROP

想要去掉的话把上面 -I 改成 -D
qwq11
2023-01-28 01:08:56 +08:00
不过最好办法是直接扯网线,请 linus 来都上不了网
webcape233
2023-01-28 01:11:18 +08:00
呃,作为有一定高校集群项目经验的人的看法,难道不是不连外网不就行了?如果能控制物理连接,比如放到机房或机柜上锁,那就没啥说了,如果公共区域放置这个机器和路由器担心有人连外网,那要控制网口,usb 口,不能让人连,加个封签(当然这阻止不了撕了去用) ,最好是路由器给你们的内网机器专用,或者建议买个几个口的交换机来专用,也不贵。 这个主要还是用管理手段来完成,何况你们的管理员技术不熟悉。
Richard14
2023-01-28 01:46:41 +08:00
@datocp 暂不考虑用户恶意使用的问题,想先假设用户都是合法用户,先解决整体网络的有无问题。之前朋友实验室确实听说过有师兄代理进去然后偷算力挖矿的情况,后来好像也没怎么样,也没被抓到的样子。我觉得如果考虑这种的话以我们的技术估计是很难处理了,只能技术上限制一部分,剩下的从人事角度管理。。。

@webcape233 需求就是不连外网但是能连内网,路由器和机器我们都有完全控制权限,包括物理上
cncmmdwl
2023-01-28 02:11:24 +08:00
如果是我话,提供一个思路,主体是不限制设备本身,建议从连接上丢数据就完事
1.使用交换机的 acl 规则,把这个端口发给路由器 /网关的数据全丢了。
2.爱快什么的路由可以选择直接禁止上网
3.该设备的 ipv4/6 不设置网关,把 dns 也去掉
4.如果该机有需要,建议直接拔网线,实话讲我这保密性高的运算机是不允许接外网且不允许插 u 盘,数据必须插 nas ,存放只读目录后才能让运算机拉走,为了方便,插了个向日葵棒子,(只有鼠标键盘和 hdmi ),目前看起来没啥问题
Pil0tXia
2023-01-28 02:33:28 +08:00
法一 防火墙用白名单模式,把内网网段添加白名单;
法二 DNS 选为内网自有的 DNS ,比如 AdguardHome 这种红米 AC2100 刷个 padavan 就能装的,不解析域名、只解析 IP ;
法三 参考学校机房和教学楼,可选开启或关闭某个 IP 地址机器的公网联网权限,padavan 就可以。或者网络结构上做隔离
以上方法都要做好权限划分,管理员配置好,用户不能改
yso
2023-01-28 03:36:49 +08:00
服务器上的 Linux 配置不使用 DHCP ,并且不配置网关即可。如果需要访问特定大内网的资源,可以创建到那个网段的路由,网关还是用那台路由器的 IP 。
Soo0
2023-01-28 03:53:19 +08:00
你能访问网内资源,网内其他终端 服务器一样可以访问他,单单禁止这台电脑互联网 只能说有点点用而已,横向攻击 信息收集没法避免,特别重要 涉密建议直接断开网络,考虑其他方式交换数据。
haikouwang
2023-01-28 03:59:31 +08:00
@whileFalse 差不多我也是这个意思,固定 IP 地址,然后网关的 DNS 不写就行了
dingwen07
2023-01-28 04:59:20 +08:00
内网其他设备可以联网,那么搭建代理就可以绕过了……
akira
2023-01-28 05:04:14 +08:00
iptables 限制对外 ip 发起任何访问应该就足够了。
ETiV
2023-01-28 05:06:22 +08:00
任何在你本机上做的修改,都是纸老虎,而且听你的意思也不会用 Linux ,你还需要在未来的管理维护中在意给谁 root 、给谁 sudo 、或者某天来个权限逃逸漏洞

(不知道你所提及的内网有多大,所以也不好下定论)

如果你们组织有网络管理员的话,可以让他帮忙划拨个 VLAN ,物理连入这个 VLAN 下的设备只能访问内网,就行了
ericls
2023-01-28 05:13:12 +08:00
这个是路由器干的事情
Gav1nw
2023-01-28 07:56:16 +08:00
我原来这种情况直接在其他 server 搭 VPN 。。。你怎么限制?干脆点拔网线,拷入拷出数据严格审核,最好终端登陆不要接触到主机
lrigi
2023-01-28 08:48:43 +08:00
服务器不能连外网传输数据很麻烦哎
先用着 有问题就重装系统!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/910930

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX