Läpinäkyvän palomuurin määrittäminen ArchLinuxin avulla

Yritän määrittää läpinäkyvän palomuurin ArchLinuxin avulla.

Asetukseni näyttää tältä:

(ISP, IP: 10.90.10.254) \ \ \ (eth0-> ip: 10.90.10.1 gateway: 10.90.10.254) +-----------+ | | | PC | |(as server)| +-----------+ \ (eth1-> ip: 10.90.10.100) \ \ (10.90.10.101)\ | (wireless-> ip-range: 10.90.10.102-) +-------+ |Router | +-------+ 

Reitittimelläni ei ole palomuurikapasiteettia, joten minun on pudotettava palomuuri reitittimen ja Internet-palveluntarjoajan väliin.

Kommentit

  • Verkon peitteet? Haluatko eth0: n ja eth1: n " PC: lle " silloitettua?
  • Epätavallista, että " palvelin " ISP-yhteydessä ja reititin " reititin " palvelimen takana …
  • @HaukeLaging kyllä, se ' on epätavallista, mutta minun on sovellettava joitain palomuurisääntöjä ja liikenteen hallintaa, ja reititin ei ' ei ole näitä toimintoja
  • kun sanot " reititin " , tarkoitatko todella langatonta " langatonta tukiasemaa "? Se näyttää varmasti siltä …
  • @derobert kyllä, tarkoitan todella reititintä, Dlink-linkkiä … Konfiguroin verkon vastaamalla Cha0: t ja toimin nyt odotetusti!

vastaus

Tämän saavuttamiseksi sinun on asetettava eth0 ja eth1 tietokoneeseen silta-tilaan ja annettava 1 ip sillalle käyttöliittymä (ei yksittäisissä etheissä)

Tässä on linjauksen luomisen perusteet aloittaaksesi http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html

Distroistasi riippuen silloitus voi olla nopeampi / parempi tapa.

Nyt mainitsemiasi langattomia IP-alueita ei voida määrittää joissakin kokoonpanoissa . Sinusta riippuu, mitkä IP-osoitteet jaat mihin.

Ehkä voisit hallita sitä DHCP: n kautta, mutta se riippuu kokonaisasetuksistasi ja tarpeistasi.

Kommentit

  • Ok, luin ' ll … Käytän ArchLinuxia, sitten sen jälkeen kun olen ' ll tee hakuja ArchWikissä. Kiitos vastauksestasi!
  • Asensin sillan netctl: n avulla (Archlinux-oletus ' s). Tämän jälkeen asetin reitittimen (D-Link DI-524) myös sillatilassa, nyt myös verkkoni toimii, kiitos vielä kerran!
  • Huomaa, että silloitetulla asetuksella normaalit iptables-palomuurisäännöt eivät ole voimassa. Sinulla voi olla jonkin verran onnea ebtables: n kanssa, jos haluat tehdä palomuureja, mutta minä ' suosittelen sen sijaan reititettyä asennusta.

Vastaa

Ensin sinun on otettava käyttöön verkko-osoitteen kääntäminen:
Lisää tämä rivi

net.ipv4.ip_forward = 1

kohteeseen

/etc/sysctl.conf

(rivin lisäämisen jälkeen vaikutus otetaan heti) ja palomuurisäännön lisääminen:

iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE

Ja nyt langaton verkko voi lähettää pakettien joukon palvelin-PC: tä Internet-palveluntarjoajalle
Vielä yksi ehdotus: poista ”kaikki” pääsy palvelimelle ja ota käyttöön vain se, mitä todella tarvitset:

iptables -P INPUT DROP
iptables -A INPUT -m state – state RELATED, ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state –state UUSI -j ACCPET

nämä asetukset estävät oletusarvoisen ”kaiken sallitun” pakettivirran, yhteys Internet-palveluntarjoajalta on poistettu käytöstä (ja WAN) palvelinportteihin, mahdollistaa ulkoiset yhteydet langattomasta verkosta.
Jos sinun on avattava palvelinportit palomuurissa:

iptables – INPUT -p tcp -m tcp –port 22 -j HYVÄKSY

korvaa tcp tarvittaessa udp: ksi, ja porttialueet voivat lisää mallilla from: malliin.
Jos jokin on vialla ja sulje itse, voit nollata palomuurisäännöt:

iptables -F

Helpoin tapa, jos asennat webmin palvelinjärjestelmään, sillä on upea palomuurin konfiguroijan käyttöliittymä. Muista kuitenkin aina ”iptables -F” -komento, jos suljet itsesi etkä pääse webminiin

Kommentit

  • I ' olet kokeillut tätä, mutta se ei ' toimi, eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; reititin: 10.90.10.101/24; % sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 % sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 PS: Muutin iptables-sääntösi kohteelle # iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE

Vastaus

Sen pitäisi olla mahdollista (palvelimen näkökulmasta), jos määrität eth0: n (ja ehkä myös eth1) pisteestä pisteeseen -liitäntä (katso man ip-address, peer).

Mielestäni osoitteen valinta on huono idea kaikilta osin: eth1: n ja WLAN-verkkojen ei pitäisi olla päällekkäisiä.Tämä ei ole mahdollista, jos eth1 ei ole pisteestä pisteeseen -rajapinta ja WLAN alkaa kohdasta 102.

Vielä pahempaa reitittimessä: Sen LAN-IP on osa WLAN-verkkoa, joten sen pitäisi olla Myös p2p (voidaanko määrittää reitittimessä?).

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *