ArchLinuxを使用して透過ファイアウォールを設定しようとしています。
設定は次のようになります:
(ISP, IP: 10.90.10.254) \ \ \ (eth0-> ip: 10.90.10.1 gateway: 10.90.10.254) +-----------+ | | | PC | |(as server)| +-----------+ \ (eth1-> ip: 10.90.10.100) \ \ (10.90.10.101)\ | (wireless-> ip-range: 10.90.10.102-) +-------+ |Router | +-------+ ルーターにファイアウォール機能がないため、ルーターとISPの間にファイアウォールをドロップする必要があります。
コメント
- ネットワークマスク? " PC "のeth0とeth1をブリッジしますか?
- server "と" router "サーバーの背後…
- @HaukeLagingはい、'は珍しいですが、ファイアウォールルールとトラフィック制御を適用する必要があり、ルーターは'この機能はありません
- "ルーター"と言うとき、本当に"ワイヤレスアクセスポイント"を意味しますか?確かにそのように見えます…
- @derobertはい、私は本当にルーター、Dlinkを意味します… Cha0sの応答でネットワークを構成し、現在は期待どおりに機能しています!
回答
これを実現するには、PCでeth0とeth1をブリッジモードにして、ブリッジに1つのIPを与える必要があります。インターフェース(個々のethではない)
Linuxでのブリッジングの基本は次のとおりです。 http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html
ディストリビューションによっては、ブリッジングを行うためのより高速で優れた方法がある場合があります。
現在、おっしゃったワイヤレスIP範囲は、一部の構成では指定できません。 。どのIPをどこに割り当てるかはあなた次第です。
DHCPを介してそれを制御できるかもしれませんが、それは全体的な設定とニーズによって異なります。
コメント
- わかりました、'読みます… ArchLinuxを使用し、その後' ll ArchWikiで検索してください。回答ありがとうございます!
- netctl(Archlinux default ' s)を使用してブリッジをセットアップし、その後ルーター(D-Link DI-524)をセットアップします。ブリッジモードでも、ネットワークも機能しています。ありがとうございます。
- ブリッジ設定では、通常のiptablesファイアウォールルールは適用されないことに注意してください。ファイアウォールを実行したい場合は、
ebtablesで運が良かったかもしれませんが、代わりに'ルーティングされたセットアップをお勧めします。
回答
まず、ネットワークアドレス変換を有効にする必要があります。
この行を挿入します
net.ipv4.ip_forward = 1
から
/etc/sysctl.conf
(行が挿入された後、すぐに有効になります)およびファイアウォールルールの追加:
iptables -t NAT -A POSTROUTING-!o lo -j MASQUERADE
そして今ワイヤレスネットワークはサーバーPCを介してISPにパケットを送信できます
もう1つの提案:サーバーへの「すべて」のアクセスを無効にし、本当に必要なものだけを有効にします:
iptables -P INPUT DROP
iptables -A INPUT -m state –state RELATED、ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state –state NEW -j ACCPET
この設定は、デフォルトの「すべて許可された」パケットフローを無効にし、ISPからの接続を無効にします。 (およびWAN)サーバーポートへの接続を有効にし、ワイヤレスネットワークからの発信接続を有効にします。
ファイアウォールでサーバーポートを開く必要がある場合:
iptables- A INPUT -p tcp -m tcp –dport 22 -j ACCEPT
必要に応じてtcpをudpに置き換えます。ポート範囲は、 from:toパターンで追加します。
何か問題が発生して自分自身を閉じた場合は、ファイアウォールルールをリセットできます:
iptables -F
最も簡単な方法は、webminをサーバーシステムにインストールする場合、優れたファイアウォールコンフィギュレーターGUIを備えていることです。ただし、自分自身を閉じてwebminにアクセスできない場合は、常に「iptables-F」コマンドを覚えておいてください。
コメント
- I 'これを試しましたが、'が機能していません、eth0:10.90.10.1/24; eth1:10.90.10.100/24;ルーター:10.90.10.101 / 24;
% sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1% sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0PS:# iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE
<のiptablesルールを変更しました/ ul>
回答
eth0(およびおそらくeth1も)を次のように定義すると、(サーバーの観点から)それが可能になるはずです。ポイントツーポイントインターフェイス(man ip-address、peerを参照)。
私の意見では、アドレスの選択は次のとおりです。あらゆる面で悪い考えです。eth1とWLANのネットワークは重複してはいけません。eth1がポイントツーポイントインターフェイスではなく、WLANが102から始まる場合、これは不可能です。
ルーターではさらに悪いことに、そのLAN IPはWLANネットワークの一部であるため、 p2pも(ルーターで構成できますか?)