Jak skonfigurować przezroczystą zaporę ogniową za pomocą ArchLinux

Aby to osiągnąć, musisz przełączyć eth0 i eth1 w tryb bridge na PC i dać 1 ip do mostka interfejs (nie na poszczególnych etach)

Oto podstawy mostkowania w Linuksie, aby rozpocząć http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html

W zależności od twojej dystrybucji może istnieć szybszy / lepszy sposób na wykonanie mostkowania.

Teraz wspomniany bezprzewodowy zakres IP nie może być określony w niektórych konfiguracjach . To od Ciebie zależy, gdzie przydzielisz adresy IP.

Może możesz to kontrolować przez DHCP, ale zależy to od ogólnej konfiguracji i potrzeb.

Komentarze

• OK, ' ll czytać … Używam ArchLinux, a potem ' ll poszukaj w ArchWiki. Dziękuję za odpowiedź!
• Skonfigurowałem most za pomocą netctl (domyślnie Archlinux ' s), po tym skonfigurowałem router (D-Link DI-524) także w trybie mostkowym, więc teraz moja sieć też działa, jeszcze raz dziękuję!
• Zauważ, że przy konfiguracji mostkowej normalne reguły zapory iptables nie będą miały zastosowania. Możesz mieć trochę szczęścia z ebtables, jeśli chcesz zastosować zaporę ogniową, ale ' d polecam zamiast tego konfigurację routowaną.

Najpierw włącz tłumaczenie adresu sieciowego:
Wstaw tę linię

net.ipv4.ip_forward = 1

do

/etc/sysctl.conf

(po wstawieniu wiersza efekt jest natychmiastowy) i dodanie reguły zapory:

iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE

A teraz sieć bezprzewodowa może wysyłać pakiety przez serwer PC do dostawcy usług internetowych
Jeszcze jedna sugestia: wyłącz „wszystko” dostęp do serwera i włącz tylko to, czego naprawdę potrzebujesz:

iptables -P INPUT DROP
iptables -A INPUT -m stan –state ZWIĄZANE, USTALONE -j AKCEPTUJ
iptables -A INPUT -i stan eth1 -m –state NEW -j ACCPET

to ustawienie wyłącza domyślny przepływ pakietów „wszystkie dozwolone”, nie można łączyć się z usługodawcą internetowym (i WAN) do portów serwera, włącza wychodzące połączenia z sieci bezprzewodowej.
Jeśli potrzebujesz otworzyć porty serwera w zaporze:

iptables – WEJŚCIE -p tcp -m tcp –dport 22 -j AKCEPTUJ

w razie potrzeby zamień tcp na udp, a zakresy portów mogą dodaj z od: do wzorca.
jeśli coś jest nie tak i sam się zamkniesz, możesz zresetować reguły zapory:

iptables -F

Najłatwiejszy sposób, jeśli zainstalujesz webmina w swoim systemie serwera, ma świetny graficzny interfejs użytkownika do konfigurowania zapory. Ale zawsze pamiętaj o poleceniu „iptables -F”, jeśli zamkniesz się i nie możesz uzyskać dostępu do webmina

Komentarze

• I ' próbowałem tego, ale nie ' nie działa, eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; router: 10.90.10.101/24; % sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 % sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 PS: Zmieniłem regułę iptables na # iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE

Powinno to być możliwe (z punktu widzenia serwera), jeśli zdefiniujesz eth0 (i być może również eth1) jako interfejs typu punkt-punkt (patrz man ip-address, peer).

Moim zdaniem wybór adresu jest zły pomysł pod każdym względem. Sieci eth1 i WLAN nie powinny się nakładać.Nie jest to możliwe, jeśli eth1 nie jest interfejsem typu punkt-punkt, a sieć WLAN zaczyna się od 102.

Co gorsza na routerze: jego adres IP LAN jest częścią sieci WLAN, więc musiałby być p2p też (czy można to skonfigurować na routerze?).