Pokouším se nastavit transparentní firewall pomocí ArchLinuxu.
Moje nastavení vypadá takto:
(ISP, IP: 10.90.10.254) \ \ \ (eth0-> ip: 10.90.10.1 gateway: 10.90.10.254) +-----------+ | | | PC | |(as server)| +-----------+ \ (eth1-> ip: 10.90.10.100) \ \ (10.90.10.101)\ | (wireless-> ip-range: 10.90.10.102-) +-------+ |Router | +-------+ Můj směrovač nemá kapacitu brány firewall, proto musím mezi směrovačem a mým poskytovatelem internetových služeb vypustit bránu firewall.
Komentáře
- Síťové masky? Chcete ether0 a eth1 na " PC " přemostit?
- Neobvyklé mít " server " na připojení ISP a " router " za serverem …
- @HaukeLaging ano, je to ' neobvyklé, ale potřebuji použít některá pravidla brány firewall a řízení provozu a router ' tyto funkce
- když řeknete " router " , myslíte opravdu " bezdrátový přístupový bod "? Určitě to vypadá …
- @derobert ano, mám na mysli opravdu router, Dlink … Nakonfiguroval jsem síť s odpovědí Cha0s a nyní funguje podle očekávání!
Odpověď
Chcete-li toho dosáhnout, musíte přepnout eth0 a eth1 do režimu mostu na PC a dát mostu 1 ip rozhraní (ne na jednotlivých etherech)
Zde jsou základní informace o přemostění v systému Linux, abyste mohli začít http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html
V závislosti na vaší distribuci může existovat rychlejší / lepší způsob přemostění.
Nyní, rozsah bezdrátové IP adresy, který jste zmínili, nelze určit pomocí nějaké konfigurace . Je jen na vás, které IP adresy kam přidělíte.
Možná byste to mohli ovládat pomocí DHCP, ale záleží to na vašem celkovém nastavení a potřebách.
Komentáře
- Ok, čtu ' ll … používám ArchLinux, poté po ' ll proveďte nějaké vyhledávání na ArchWiki. Děkuji za odpověď!
- Nastavuji most pomocí netctl (Archlinux default ' s), poté nastavím router (D-Link DI-524) v režimu mostu také nyní funguje i moje síť, ještě jednou děkuji!
- Všimněte si, že s přemostěným nastavením se vaše běžná pravidla brány firewall iptables nepoužijí. Můžete mít štěstí s
ebtables, pokud chcete provádět firewall, ale ' místo toho doporučuji směrované nastavení.
Odpověď
Nejprve byste měli povolit překlad síťových adres:
Vložte tento řádek
net.ipv4.ip_forward = 1
až
/etc/sysctl.conf
(po vložení řádku se efekt projeví okamžitě) a přidání pravidla brány firewall:
iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE
A teď bezdrátová síť může odesílat na server ISP problémy s pakety serveru
Ještě jeden návrh: deaktivovat přístup „vše“ na server a povolit pouze to, co skutečně potřebujete:
iptables -P INPUT DROP
iptables -A INPUT -m state –state RELATED, ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state –state NEW -j ACCPET
toto nastavení zakáže výchozí „veškerý povolený“ tok paketů, je zakázáno se připojovat od ISP (a WAN) na porty serveru, umožňuje odchozí připojení z bezdrátové sítě.
Pokud potřebujete otevřít porty serveru v bráně firewall:
iptables – INPUT -p tcp -m tcp –dport 22 -j ACCEPT
v případě potřeby nahraďte tcp na udp a rozsahy portů mohou přidat s od: do vzoru.
pokud něco není v pořádku a uzavřít se, můžete resetovat pravidla brány firewall:
iptables -F
Nejjednodušší způsob, pokud nainstalujete webmin do svého serverového systému, má skvělé grafické uživatelské rozhraní konfigurátoru brány firewall. Pamatujte si ale vždy příkaz „iptables -F“, pokud se sami uzavřete a nemáte přístup k webminu
Komentáře
- I ' zkusili jsme to, ale nefunguje to ', eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; router: 10.90.10.101/24;
% sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1% sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0PS: Změnil jsem vaše pravidlo iptables pro# iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE
Odpověď
To by mělo být možné (z pohledu serveru), pokud definujete eth0 (a možná také eth1) jako rozhraní typu point-to-point (viz man ip-address, peer).
Podle mého názoru je výběr adresy špatný nápad v každém aspektu. Sítě eth1 a WLAN by se neměly překrývat.To není možné, pokud eth1 není rozhraní typu point-to-point a WLAN začíná na 102.
Ještě horší na routeru: Jeho LAN IP je součástí sítě WLAN, takže by to muselo být také p2p (lze to nakonfigurovat na routeru?).