september 12, 2020
Articles
Geen reacties

Hoe een transparante firewall in te stellen met ArchLinux

Ik probeer een transparante firewall in te stellen met ArchLinux.

Mijn setup ziet er als volgt uit: 

(ISP, IP: 10.90.10.254) \ \ \ (eth0-> ip: 10.90.10.1 gateway: 10.90.10.254) +-----------+ | | | PC | |(as server)| +-----------+ \ (eth1-> ip: 10.90.10.100) \ \ (10.90.10.101)\ | (wireless-> ip-range: 10.90.10.102-) +-------+ |Router | +-------+

Mijn router heeft geen firewall-capaciteiten, daarom moet ik een firewall tussen de router en mijn ISP neerzetten.

Opmerkingen

  • Netwerkmaskers? Wilt u eth0 en eth1 op " pc " overbruggen?
  • Ongebruikelijk om de " server " op de ISP-verbinding en de " router " achter de server …
  • @HaukeLaging ja, het ' is ongebruikelijk, maar ik moet enkele firewallregels en verkeerscontrole toepassen, en de router doet het niet ' heeft deze functionaliteiten
  • Wanneer je zegt " router " , bedoel je echt " draadloos toegangspunt "? Het ziet er zeker zo uit …
  • @derobert ja, ik bedoel echt een router, een Dlink … Ik heb het netwerk geconfigureerd met het antwoord van Cha0s en werkt nu zoals verwacht!

Answer

Om dat te bereiken, moet je eth0 en eth1 in bridge-modus op de pc zetten en 1 ip aan de bridge geven interface (niet op de individuele eths)

Hier zijn de basisprincipes over bridging op linux, om te beginnen http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html

Afhankelijk van je distro is er misschien een snellere / betere manier om te bridgen.

Nu kan het draadloze IP-bereik dat je noemde, niet worden gespecificeerd via een bepaalde configuratie . Het is aan jou welke IPs je waar wilt toewijzen.

Misschien zou je dat kunnen regelen via DHCP, maar het hangt af van je algemene instellingen en behoeften.

Opmerkingen

  • Ok, ik ' zal lezen … ik gebruik ArchLinux, en daarna ' ll zoek wat in ArchWiki. Bedankt voor je antwoord!
  • Ik heb de bridge ingesteld met netctl (Archlinux default ' s), hierna heb ik de router ingesteld (D-Link DI-524) ook in bridge-modus, dan werkt mijn netwerk nu ook, nogmaals bedankt!
  • Merk op dat met een bridged setup, je normale iptables firewall regels niet van toepassing zijn. Misschien heb je wat geluk met ebtables als je firewalling wilt doen, maar ik ' raad in plaats daarvan een gerouteerde installatie aan.

Answer

Eerst moet u het vertalen van netwerkadressen inschakelen:
Voeg deze regel in

net.ipv4.ip_forward = 1

tot

/etc/sysctl.conf

(na ingevoegde regel, effect onmiddellijk) en firewallregel toevoegen:

iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE

En nu het draadloze netwerk kan pakketten via de server-pc naar de ISP sturen.
Nog een suggestie: schakel “alle” toegang tot de server uit en schakel alleen in wat u echt nodig hebt:

iptables -P INPUT DROP
iptables -A INPUT -m state –state GERELATEERD, GEVESTIGD -j ACCEPT
iptables -A INPUT -i eth1 -m state –state NEW -j ACCPET

deze instelling schakelt de standaard “alle toegestane” pakketstroom uit, het is uitgeschakeld om verbinding te maken vanaf ISP (en WAN) naar serverpoorten, maakt uitgaande verbindingen vanaf een draadloos netwerk mogelijk.
Als u serverpoorten in de firewall moet openen:

iptables – A INPUT -p tcp -m tcp –dport 22 -j ACCEPT

vervang tcp door udp indien nodig, en poortbereiken kunnen toevoegen met van: naar patroon.
als er iets mis is en jezelf afsluit, kun je de firewallregels resetten:

iptables -F

De gemakkelijkste manier, als je een webmin in je serversysteem installeert, heeft een geweldige firewall configurator GUI. Maar onthoud altijd het “iptables -F” -commando als je jezelf afsluit en geen toegang hebt tot webmin

Commentaren

  • I ' heb dit geprobeerd, maar het werkt niet ', eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; router: 10.90.10.101/24; % sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 % sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 PS: ik heb je iptables-regel gewijzigd voor # iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE

Antwoord

Dat zou mogelijk moeten zijn (vanuit het perspectief van de server) als je eth0 (en misschien ook eth1) definieert als een point-to-point interface (zie man ip-address, peer).

Naar mijn mening is de adresselectie een slecht idee in elk aspect De netwerken van eth1 en de WLAN mogen elkaar niet overlappen.Dat is niet mogelijk als eth1 geen point-to-point-interface is en de WLAN begint bij 102.

Erger nog op de router: zijn LAN IP maakt deel uit van het WLAN-netwerk, dus het zou moeten zijn p2p ook (kan dat op de router worden geconfigureerd?).

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *