Jeg prøver at opsætte en gennemsigtig firewall ved hjælp af ArchLinux.
Min opsætning ser sådan ud:
(ISP, IP: 10.90.10.254) \ \ \ (eth0-> ip: 10.90.10.1 gateway: 10.90.10.254) +-----------+ | | | PC | |(as server)| +-----------+ \ (eth1-> ip: 10.90.10.100) \ \ (10.90.10.101)\ | (wireless-> ip-range: 10.90.10.102-) +-------+ |Router | +-------+
Min router har ikke firewalling-kapacitet, derfor skal jeg slippe en firewall mellem routeren og min internetudbyder.
Kommentarer
- Netværksmasker? Vil du have eth0 og eth1 på " PC " overbygget?
- Usædvanligt at have " server " på ISP-forbindelsen og " router " bag serveren …
- @HaukeLaging ja, det ' er usædvanligt, men jeg har brug for nogle firewallregler og trafikkontrol, og routeren ' har ikke denne funktion
- Når du siger " router " , mener du virkelig " trådløst adgangspunkt "? Det ser bestemt ud som det …
- @derobert ja, jeg mener en rigtig router, en Dlink … Jeg konfigurerede netværket med svar fra Cha0s og fungerer nu som forventet!
Svar
For at opnå dette skal du sætte eth0 og eth1 i bridge-tilstand på pcen og give 1 ip til broen interface (ikke på de enkelte etikker)
Her er det grundlæggende om at bygge bro på linux for at komme i gang http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html
Afhængigt af din distro er der muligvis en hurtigere / bedre måde at udføre bridging på.
Nu kan det trådløse IP-interval, du nævnte, ikke specificeres via en eller anden konfiguration . Det er op til dig, hvilke IPer du tildeler hvor.
Måske kan du kontrollere det via DHCP, men det afhænger af din samlede opsætning og behov.
Kommentarer
- Ok, jeg ' Jeg læser … Jeg bruger ArchLinux og derefter efter jeg ' ll foretag nogle søgninger i ArchWiki. Tak for dit svar!
- Jeg opsætter broen ved hjælp af netctl (Archlinux standard ' s), Herefter opsætter jeg routeren (D-Link DI-524) i bridge-tilstand også, så fungerer nu mit netværk også, tak igen!
- Bemærk, at med en brokonfiguration gælder dine normale iptables-firewallregler ikke. Du har muligvis held med
ebtables
, hvis du vil lave firewalling, men jeg ' vil i stedet anbefale en routet opsætning.
Svar
Først skal du aktivere oversættelse af netværksadresse:
Indsæt denne linje
net.ipv4.ip_forward = 1
til
/etc/sysctl.conf
(efter at linjen er indsat, effekt træder straks) og tilføjelse af firewallregel:
iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE
Og nu det trådløse netværk kan sende pakkefejlserver-pc til ISP
Endnu et forslag: deaktiver “al” adgang til server og aktiver kun det, du virkelig har brug for:
iptables -P INPUT DROP
iptables -A INPUT -m state –state RELATED, ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state –stat NYT -j ACCPET
denne indstilling deaktiverer standard “alle tilladte” pakkeflow, det er deaktiveret for at oprette forbindelse fra ISP (og WAN) til serverporte, muliggør udefrakommende forbindelser fra trådløst netværk.
Hvis du har brug for at åbne serverporte i firewall:
iptables – EN INPUT -p tcp -m tcp –dport 22 -j ACCEPT
udskift tcp til udp, hvis det er nødvendigt, og portområder kan tilføj med fra: til mønster.
hvis der er noget galt og lukke dig selv, kan du nulstille firewallregler:
iptables -F
Den nemmeste måde, hvis du installerer et webmin i dit serversystem, har det en fantastisk GUI til firewallkonfigurator. Men husk altid kommandoen “iptables -F”, hvis du lukker dig selv og ikke kan få adgang til webmin
Kommentarer
- I ' har prøvet dette, men det fungerer ikke ', eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; router: 10.90.10.101/24;
% sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1
% sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
PS: Jeg har ændret din iptables-regel for# iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE
Svar
Det burde være muligt (set fra serverens perspektiv), hvis du definerer eth0 (og måske eth1 også) som en punkt-til-punkt-grænseflade (se man ip-address
, peer
).
Fra min mening er adressevalg en dårlig idé i alle aspekter. Netværket af eth1 og WLAN bør ikke overlappe hinanden.Det er ikke muligt, hvis eth1 ikke er en punkt-til-punkt-grænseflade, og WLAN starter ved 102.
Endnu værre på routeren: Dens LAN-IP er en del af WLAN-netværket, så det bliver nødt til at være p2p også (kan det konfigureres på routeren?).