Hvordan sette opp gjennomsiktig brannmur ved hjelp av ArchLinux

For å oppnå det, må du sette eth0 og eth1 i bridge-modus på PC-en og gi 1 ip til broen grensesnitt (ikke på de enkelte etiene)

Her er det grunnleggende om å bygge bro på linux, for å komme i gang http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html

Avhengig av distro, kan det være en raskere / bedre måte å gjøre bro.

Nå, det trådløse IP-området du nevnte, kan ikke spesifiseres via noen konfigurasjon . Det er opp til deg hvilke IP-er du vil tildele hvor.

Kanskje du kan kontrollere det via DHCP, men det avhenger av ditt generelle oppsett og behov.

Kommentarer

• Ok, jeg ' Jeg vil lese … Jeg bruker ArchLinux, så etter at jeg ' ll gjør noe søk i ArchWiki. Takk for svaret!
• Jeg setter opp broen ved hjelp av netctl (Archlinux standard ' s), Etter dette konfigurerer jeg ruteren (D-Link DI-524) i bridge-modus også, så fungerer nå nettverket mitt også, takk igjen!
• Merk at med et brooppsett vil dine vanlige iptables-brannmurregler ikke gjelde. Du kan ha litt hell med ebtables hvis du vil gjøre brannmur, men jeg ' vil anbefale et rutet oppsett i stedet.

Først bør du aktivere nettverksadresseoversettelse:
Sett inn denne linjen

net.ipv4.ip_forward = 1

til

/etc/sysctl.conf

(etter at linjen er satt inn, treffes umiddelbart) og legger til brannmurregel:

iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE

Og nå det trådløse nettverket kan sende pakker til server-PC til ISP
Ett forslag til: deaktiver «all» tilgang til serveren og aktiver bare det du virkelig trenger:

iptables -P INPUT DROP
iptables -A INPUT -m state –state RELATED, ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state –stat NYTT -j ACCPET

denne innstillingen deaktiverer standard «all tillatt» pakkestrøm, den er deaktivert for å koble til fra ISP (og WAN) til serverporter, muliggjør utenforliggende forbindelser fra trådløst nettverk.
Hvis du trenger å åpne serverporter i brannmur:

iptables – EN INNGANG -p tcp -m tcp –dport 22 -j ACCEPT

erstatt tcp til udp hvis det er nødvendig, og portområder kan legg til med fra: til mønster.
hvis noe er galt og lukker deg selv, kan du tilbakestille brannmurregler:

iptables -F

Den enkleste måten, hvis du installerer et webmin i serversystemet ditt, har det flott brannmurkonfigurator GUI. Men husk alltid kommandoen «iptables -F» hvis du lukker deg selv, og ikke har tilgang til webmin

Kommentarer

• I ' har prøvd dette, men det er ikke ' t fungerer, eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; ruter: 10.90.10.101/24; % sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 % sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 PS: Jeg endret iptables-regelen din for # iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE

Det burde være mulig (fra serverens perspektiv) hvis du definerer eth0 (og kanskje eth1 også) som et punkt-til-punkt-grensesnitt (se man ip-address, peer).

Fra min mening er adressevalget en dårlig ide i alle aspekter. Nettverkene av eth1 og WLAN skal ikke overlappe hverandre.Det er ikke mulig hvis eth1 ikke er et punkt-til-punkt-grensesnitt og WLAN starter ved 102.

Enda verre på ruteren: LAN-IP-en er en del av WLAN-nettverket, så det må være p2p, også (kan det konfigureres på ruteren?).