鉴于近日在本站看到一篇关于某智能设备厂商涉嫌未经授权擅自扫描用户局域网,并上传包含其他设备名称+MAC 地址+接入 /离开本地网络时间等隐私数据的帖子,遂在家里的路由器上配置了 VLAN 进行隔离实验,配置如下:
| | LAN | LAN_100 | |-------------|---------------|---------------| | VLAN_ID | 1 | 100 | | Gateway | 192.168.0.1 | 10.100.0.1 | | DNS | 192.168.0.1 | 10.100.0.1 | | Subnet Mask | 255.255.255.0 | 255.255.255.0 | LAN 是家里大部分设备所在的网段; LAN_100 则计划用于特定“不受信任”的设备(比如存在非法嗅探嫌疑的智能硬件)
在接入 LAN_100 网段的一台电脑上通过 arp -a 命令,只能查询到网关和在此网段的设备 IP 地址和 MAC 地址,无法查询到接入 LAN 网段的其他设备。
在接入 LAN 网段的一台电脑上执行同样命令,也只能查询到网关和在此网段的设备。
目前为止一切都很合理,VLAN 隔离似乎起到了作用。
但是当我在浏览器输入位于 LAN 网段的一台 NAS 的 IP 地址 192.168.0.88,可以显示管理登录界面,该地址也可以跨 VLAN ping 通
进一步测试发现,位于 LAN_100 网段上的一台智能电视,依然可以连接到 NAS 上的影音服务器
结论似乎是:跨 VLAN 无法扫描(比如 ARP ),但是只要你手动输入了另一个网段的 IP 地址,依然可以连通?
那么问题来了:
- 除了 ARP 还有没有其他方式,可以嗅探到局域网内其他设备的 设备名称+MAC 地址?如何防范?
- 路由器 VLAN 设置选项里面可以禁止来自特定 VLAN 的设备访问路由器管理界面
192.168.0.1,经测试有效。这是如何实现的?能否推广到禁止从指定 VLAN 访问任意 IP - 在不使用软路由防火墙的前提下,是否可以仅使用传统路由器自带的 [策略路由] [静态路由] 等功能实现禁止跨 VLAN / 跨网段的连接
1
Select Language