如何阻止路由器上的 LAN 客戶端探測本地網路？

兩個交換機上的 8 埠路由器 (4+4)

使用核心 2.6.x

所有乙太網客戶端都連接到同一子網 (192.168.0.1/24) 上的同一路由器。它們連接到路由器的唯一目的是訪問 Internet。客戶端沒有理由相互連接。

是否可以阻止客戶端發現和訪問路由器上的其他客戶端？

這可以通過 ebtables、arptables、自定義 VLAN 配置等來完成嗎？

例如，如果物聯網設備連接到路由器，我不希望它能夠發現或探測其他客戶端。

通常，在這種硬體上，我希望開關部分由專用硬體組件操作（即嵌入式 Linux 不會看到 8 個獨立的介面，也不會處理橋接）。因此，ebtables/iptables 不會對其產生影響。

但是將您的機器放在同一個交換機和同一個網段（192.168.0.x）上的全部意義在於允許它們相互通信。

首先，您不能為每台機器分配不同的網路嗎？即：每個埠 192.168.port.0/24（甚至 192.168.port.0/30）。然後，在 IP 級別，機器必須使用路由器相互通信，您可以使用 iptables 來防止這種情況（如果路由器按預期只看到整個交換機的一個埠，則禁止來自該埠的流量並轉發到同一個埠）。

這是最低限度，但由於交換機，機器仍然可以與其他機器進行通信（例如 IP 地址欺騙、IP 以外的其他協議、特製的乙太網幀等）。為了更好的隔離（在交換機級別），使用 VLAN 來確保機器只能在乙太網級別看到路由器。

引用自：https://unix.stackexchange.com/questions/385624