Come configurare un firewall trasparente utilizzando ArchLinux

Per fare ciò, devi mettere eth0 e eth1 in modalità bridge sul PC e dare 1 ip al bridge interfaccia (non sugli eth individuali)

Ecco le basi sul bridging su Linux, per iniziare http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html

A seconda della tua distribuzione, potrebbe esserci un modo migliore / più veloce per eseguire il bridging.

Ora, lintervallo di IP wireless che hai menzionato non può essere specificato tramite alcune configurazioni . Dipende da te quali IP allocare e dove.

Forse potresti controllarlo tramite DHCP, ma dipende dalla tua configurazione generale e dalle tue esigenze.

Commenti

• Ok, ' leggerò … Uso ArchLinux, quindi dopo ' ll fare qualche ricerca in ArchWiki. Grazie per la tua risposta!
• Ho configurato il bridge usando netctl (Archlinux default ' s), Dopo questo ho configurato il router (D-Link DI-524) anche in modalità bridge, quindi ora anche la mia rete funziona, grazie ancora!
• Nota che con una configurazione a ponte, le normali regole del firewall di iptables non verranno applicate. Potresti avere un po di fortuna con ebtables se desideri eseguire il firewall, ma ' ti consiglio invece una configurazione con routing.

Per prima cosa dovresti abilitare la traduzione dellindirizzo di rete:
Inserisci questa riga

net.ipv4.ip_forward = 1

a

/etc/sysctl.conf

(dopo la riga inserita, leffetto prende immediatamente) e laggiunta della regola del firewall:

iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE

E ora la rete wireless può inviare pacchetti tramite il PC server allISP
Un altro suggerimento: disabilita “tutti” gli accessi al server e abilita solo ciò di cui hai veramente bisogno:

iptables -P INPUT DROP
iptables -A INPUT -m state –state RELATED, ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state –state NEW -j ACCPET

questa impostazione disabilita il flusso di pacchetti predefinito “tutti i permessi”, è disabilitato per la connessione dallISP (e WAN) alle porte del server, abilita le connessioni in uscita dalla rete wireless.
Se è necessario aprire le porte del server nel firewall:

iptables – A INPUT -p tcp -m tcp –dport 22 -j ACCEPT

sostituisci tcp in udp se necessario, e gli intervalli di porte possono aggiungi con from: to pattern.
se qualcosa non va e chiudi da solo, puoi reimpostare le regole del firewall:

iptables -F

Il modo più semplice, se installi un webmin nel tuo sistema server, ha unottima GUI per la configurazione del firewall. Ma ricorda sempre il comando “iptables -F” se chiudi da solo e non puoi accedere a webmin

Commenti

• I ' lho provato ma ' t funziona, eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; router: 10.90.10.101/24; % sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 % sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 PS: ho cambiato la tua regola di iptables per # iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE

Ciò dovrebbe essere possibile (dal punto di vista del server) se definisci eth0 (e forse anche eth1) come uninterfaccia point-to-point (vedi man ip-address, peer).

Secondo me la selezione dellindirizzo è una cattiva idea sotto ogni aspetto Le reti di eth1 e WLAN non dovrebbero sovrapporsi.Ciò non è possibile se eth1 non è uninterfaccia punto-punto e la WLAN inizia da 102.

Ancora peggio sul router: il suo IP LAN fa parte della rete WLAN quindi dovrebbe essere anche p2p (può essere configurato sul router?).