如何安全地允許特定遠端 IP 訪問專用網路上的特定伺服器？

我有 HPC，我希望人們可以遠端使用它，而無需讓他們訪問專用網路中的其他電腦。其他電腦正在網路上執行。我正在使用埠轉發。

sudo firewall-cmd --zone=public --add-source=192.34.1.145 --runtime-to-permanent

其中 192.34.1.145 是特定的遠端 IP。我究竟做錯了什麼？如何編寫腳本以僅允許他們從特定 IP 訪問特定伺服器，而不能破解專用網路上的數據？我認為他們將能夠看到我的其他電腦。

這並不能完全回答您的問題，但是，最簡單的方法之一是使用兩個路由器將您要從 Internet 訪問的電腦放在與其他電腦物理分離的網路上。一個體面的路由器將允許您指定源 IP 地址和埠轉發到內部 IP。

將兩個路由器都連接到您的主 Internet 路由器。將可訪問 Internet 的電腦放在一個路由器後面，將其餘電腦放在另一台路由器後面。然後，可以訪問 Internet 的電腦在它自己的網路上，並且無法看到其他路由器後面的其他電腦。不要忘記在路由器上打開一個連接到可訪問 Internet 的電腦的埠，並在您的主路由器上打開連接到可訪問 Internet 的路由器的埠。

您可能不想使用可以很容易地從可訪問 Internet 的電腦上入侵的廉價消費者路由器。或者，您可以在路由器上放置dd-wrt​​韌體之類的東西。在路由器上使用非常長的密碼，以幫助防止暴力破解路由器密碼。

如果您想變得花哨，可以使用 Raspberry Pi 之類的東西作為您的路由器。然後，您可以根據自己的喜好對其進行自定義。

編輯：

您確實需要兩個連接到主路由器的路由器。有一種叫做ARP Cache Poisoning的東西可以讓被劫持的機器插入你的主路由器，通過被劫持的機器重定向所有 LAN 流量。這可能允許機器劫持其他路由器後面的機器。這稱為中間人 (MITM) 攻擊。

引用自：https://unix.stackexchange.com/questions/603472