Cómo impedir el acceso a Internet a determinados clientes

Configure su servidor como una puerta de enlace interna similar a la configuración de la red en este pregunta:

Router <-- ethernet (o Wi-Fi) --> Servidor <-- ethernet --> switch <-> red interna

A continuación, ajustar todos los ajustes como se indica en mi respuesta allí:

Asumo las siguientes direcciones IP/máscaras de red:

Router: 192.168.0.1/24
Server: en0: 192.168.0.2/24 gateway 192.168.0.1 en1: 192.168.1.2/24
Internal network: 192.168.1.0/24

1. Primero tiene que habilitar el reenvío en su ordenador servidor con los siguientes comandos:

   sudo sysctl -w net.inet.ip.forwarding=1
   sudo sysctl -w net.inet.ip.fw.enable=1

2. Para hacer NAT hay que crear una regla pfctl. Crea un archivo llamado "nat-rules" con el siguiente contenido:

   nat on en0 from en1 to any -> (en0)

3. Guarde el archivo y ahora inicie pfctl utilizando la regla del archivo que hemos creado anteriormente:

   sudo pfctl -d #disables pfctl
   sudo pfctl -F all #flushes all pfctl rules
   sudo pfctl -f /Path/to/file/nat-rules -e #starts pfctl and loads the rules from the nat-rules file

4. Ahora configure una ruta estática en su router:

   192.168.1.0/24 (la red interna) -> 192.168.0.2 (dirección IP del servidor de la interfaz externa conectada al router)

5. Habilite el servicio DHCP en su servidor:

   • Nombre: elija un nombre
   • Interfaz de red: es1
   • Dirección IP inicial: 192.168.1.10
   • Dirección IP final: 192.168.1.100
   • Máscara de red de subred: 255.255.255.0
   • Router: 192.168.1.2
   • DNS: algún o su servidor DNS (por ejemplo, 8.8.8.8 o 192.168.1.2)

6. Ahora use pfctl para añadir reglas o consiga un pfctl-GUI como IceFloor o Murus para configurar su cortafuegos. Ambas aplicaciones deberían permitirte también activar el NAT (paso 2/3). Puedes definir dos conjuntos de reglas diferentes: uno que sólo permita a tu ordenador acceder a Internet desde la red interna y otro que no restrinja el acceso a Internet.