Sådan opsættes gennemsigtig firewall ved hjælp af ArchLinux

For at opnå dette skal du sætte eth0 og eth1 i bridge-tilstand på pcen og give 1 ip til broen interface (ikke på de enkelte etikker)

Her er det grundlæggende om at bygge bro på linux for at komme i gang http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html

Afhængigt af din distro er der muligvis en hurtigere / bedre måde at udføre bridging på.

Nu kan det trådløse IP-interval, du nævnte, ikke specificeres via en eller anden konfiguration . Det er op til dig, hvilke IPer du tildeler hvor.

Måske kan du kontrollere det via DHCP, men det afhænger af din samlede opsætning og behov.

Kommentarer

• Ok, jeg ' Jeg læser … Jeg bruger ArchLinux og derefter efter jeg ' ll foretag nogle søgninger i ArchWiki. Tak for dit svar!
• Jeg opsætter broen ved hjælp af netctl (Archlinux standard ' s), Herefter opsætter jeg routeren (D-Link DI-524) i bridge-tilstand også, så fungerer nu mit netværk også, tak igen!
• Bemærk, at med en brokonfiguration gælder dine normale iptables-firewallregler ikke. Du har muligvis held med ebtables, hvis du vil lave firewalling, men jeg ' vil i stedet anbefale en routet opsætning.

Først skal du aktivere oversættelse af netværksadresse:
Indsæt denne linje

net.ipv4.ip_forward = 1

til

/etc/sysctl.conf

(efter at linjen er indsat, effekt træder straks) og tilføjelse af firewallregel:

iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE

Og nu det trådløse netværk kan sende pakkefejlserver-pc til ISP
Endnu et forslag: deaktiver “al” adgang til server og aktiver kun det, du virkelig har brug for:

iptables -P INPUT DROP
iptables -A INPUT -m state –state RELATED, ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state –stat NYT -j ACCPET

denne indstilling deaktiverer standard “alle tilladte” pakkeflow, det er deaktiveret for at oprette forbindelse fra ISP (og WAN) til serverporte, muliggør udefrakommende forbindelser fra trådløst netværk.
Hvis du har brug for at åbne serverporte i firewall:

iptables – EN INPUT -p tcp -m tcp –dport 22 -j ACCEPT

udskift tcp til udp, hvis det er nødvendigt, og portområder kan tilføj med fra: til mønster.
hvis der er noget galt og lukke dig selv, kan du nulstille firewallregler:

iptables -F

Den nemmeste måde, hvis du installerer et webmin i dit serversystem, har det en fantastisk GUI til firewallkonfigurator. Men husk altid kommandoen “iptables -F”, hvis du lukker dig selv og ikke kan få adgang til webmin

Kommentarer

• I ' har prøvet dette, men det fungerer ikke ', eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; router: 10.90.10.101/24; % sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 % sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 PS: Jeg har ændret din iptables-regel for # iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE

Det burde være muligt (set fra serverens perspektiv), hvis du definerer eth0 (og måske eth1 også) som en punkt-til-punkt-grænseflade (se man ip-address, peer).

Fra min mening er adressevalg en dårlig idé i alle aspekter. Netværket af eth1 og WLAN bør ikke overlappe hinanden.Det er ikke muligt, hvis eth1 ikke er en punkt-til-punkt-grænseflade, og WLAN starter ved 102.

Endnu værre på routeren: Dens LAN-IP er en del af WLAN-netværket, så det bliver nødt til at være p2p også (kan det konfigureres på routeren?).