Yritän määrittää läpinäkyvän palomuurin ArchLinuxin avulla.
Asetukseni näyttää tältä:
(ISP, IP: 10.90.10.254) \ \ \ (eth0-> ip: 10.90.10.1 gateway: 10.90.10.254) +-----------+ | | | PC | |(as server)| +-----------+ \ (eth1-> ip: 10.90.10.100) \ \ (10.90.10.101)\ | (wireless-> ip-range: 10.90.10.102-) +-------+ |Router | +-------+ Reitittimelläni ei ole palomuurikapasiteettia, joten minun on pudotettava palomuuri reitittimen ja Internet-palveluntarjoajan väliin.
Kommentit
- Verkon peitteet? Haluatko eth0: n ja eth1: n " PC: lle " silloitettua?
- Epätavallista, että " palvelin " ISP-yhteydessä ja reititin " reititin " palvelimen takana …
- @HaukeLaging kyllä, se ' on epätavallista, mutta minun on sovellettava joitain palomuurisääntöjä ja liikenteen hallintaa, ja reititin ei ' ei ole näitä toimintoja
- kun sanot " reititin " , tarkoitatko todella langatonta " langatonta tukiasemaa "? Se näyttää varmasti siltä …
- @derobert kyllä, tarkoitan todella reititintä, Dlink-linkkiä … Konfiguroin verkon vastaamalla Cha0: t ja toimin nyt odotetusti!
vastaus
Tämän saavuttamiseksi sinun on asetettava eth0 ja eth1 tietokoneeseen silta-tilaan ja annettava 1 ip sillalle käyttöliittymä (ei yksittäisissä etheissä)
Tässä on linjauksen luomisen perusteet aloittaaksesi http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html
Distroistasi riippuen silloitus voi olla nopeampi / parempi tapa.
Nyt mainitsemiasi langattomia IP-alueita ei voida määrittää joissakin kokoonpanoissa . Sinusta riippuu, mitkä IP-osoitteet jaat mihin.
Ehkä voisit hallita sitä DHCP: n kautta, mutta se riippuu kokonaisasetuksistasi ja tarpeistasi.
Kommentit
- Ok, luin ' ll … Käytän ArchLinuxia, sitten sen jälkeen kun olen ' ll tee hakuja ArchWikissä. Kiitos vastauksestasi!
- Asensin sillan netctl: n avulla (Archlinux-oletus ' s). Tämän jälkeen asetin reitittimen (D-Link DI-524) myös sillatilassa, nyt myös verkkoni toimii, kiitos vielä kerran!
- Huomaa, että silloitetulla asetuksella normaalit iptables-palomuurisäännöt eivät ole voimassa. Sinulla voi olla jonkin verran onnea
ebtables: n kanssa, jos haluat tehdä palomuureja, mutta minä ' suosittelen sen sijaan reititettyä asennusta.
Vastaa
Ensin sinun on otettava käyttöön verkko-osoitteen kääntäminen:
Lisää tämä rivi
net.ipv4.ip_forward = 1
kohteeseen
/etc/sysctl.conf
(rivin lisäämisen jälkeen vaikutus otetaan heti) ja palomuurisäännön lisääminen:
iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE
Ja nyt langaton verkko voi lähettää pakettien joukon palvelin-PC: tä Internet-palveluntarjoajalle
Vielä yksi ehdotus: poista ”kaikki” pääsy palvelimelle ja ota käyttöön vain se, mitä todella tarvitset:
iptables -P INPUT DROP
iptables -A INPUT -m state – state RELATED, ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state –state UUSI -j ACCPET
nämä asetukset estävät oletusarvoisen ”kaiken sallitun” pakettivirran, yhteys Internet-palveluntarjoajalta on poistettu käytöstä (ja WAN) palvelinportteihin, mahdollistaa ulkoiset yhteydet langattomasta verkosta.
Jos sinun on avattava palvelinportit palomuurissa:
iptables – INPUT -p tcp -m tcp –port 22 -j HYVÄKSY
korvaa tcp tarvittaessa udp: ksi, ja porttialueet voivat lisää mallilla from: malliin.
Jos jokin on vialla ja sulje itse, voit nollata palomuurisäännöt:
iptables -F
Helpoin tapa, jos asennat webmin palvelinjärjestelmään, sillä on upea palomuurin konfiguroijan käyttöliittymä. Muista kuitenkin aina ”iptables -F” -komento, jos suljet itsesi etkä pääse webminiin
Kommentit
- I ' olet kokeillut tätä, mutta se ei ' toimi, eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; reititin: 10.90.10.101/24;
% sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1% sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0PS: Muutin iptables-sääntösi kohteelle# iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE
Vastaus
Sen pitäisi olla mahdollista (palvelimen näkökulmasta), jos määrität eth0: n (ja ehkä myös eth1) pisteestä pisteeseen -liitäntä (katso man ip-address, peer).
Mielestäni osoitteen valinta on huono idea kaikilta osin: eth1: n ja WLAN-verkkojen ei pitäisi olla päällekkäisiä.Tämä ei ole mahdollista, jos eth1 ei ole pisteestä pisteeseen -rajapinta ja WLAN alkaa kohdasta 102.
Vielä pahempaa reitittimessä: Sen LAN-IP on osa WLAN-verkkoa, joten sen pitäisi olla Myös p2p (voidaanko määrittää reitittimessä?).