Cum se configurează un firewall transparent folosind ArchLinux

Pentru a realiza acest lucru, trebuie să puneți eth0 și eth1 în modul bridge pe PC și să dați 1 ip la bridge interface (not on the eths individual)

Iată elementele de bază despre conectarea la Linux, pentru a începe http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html

În funcție de distribuția dvs., ar putea exista o modalitate mai rapidă / mai bună de a face legătura.

Acum, intervalul IP wireless pe care l-ați menționat, nu poate fi specificat prin intermediul unei anumite configurații . Depinde de dvs. ce adrese IP veți aloca unde.

Poate ați putea controla acest lucru prin DHCP, dar depinde de configurarea și nevoile dvs. generale.

Comentarii

• Ok, voi ' voi citi … folosesc ArchLinux, apoi după ce ' ll faceți câteva căutări în ArchWiki. Vă mulțumim pentru răspuns!
• Am configurat podul folosind netctl (Archlinux implicit ' s), După aceasta am configurat routerul (D-Link DI-524) în modul bridge, de asemenea, acum și rețeaua mea funcționează, vă mulțumesc din nou!
• Rețineți că, cu o configurare cu punte, regulile firewall-ului dvs. normal iptables nu se vor aplica. Este posibil să aveți ceva noroc cu ebtables dacă doriți să faceți firewall, dar eu ' recomand în schimb o configurare rutată.

Mai întâi trebuie să activați traducerea adresei de rețea:
Introduceți această linie

net.ipv4.ip_forward = 1

la

/etc/sysctl.conf

(după inserarea liniei, efectul ia imediat) și adăugarea regulii firewall:

iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE

Și acum rețeaua fără fir poate trimite pachete problemă pe computerul serverului către ISP
Încă o sugestie: dezactivați accesul la „server” și activați doar ceea ce aveți cu adevărat nevoie:

iptables -P INPUT DROP
iptables -A INPUT -m state –state RELATED, STABILIT -j ACCEPT
iptables -A INPUT -i eth1 -m state –state NEW -j ACCPET

această setare dezactivează fluxul de pachete implicit „toate permise”, este dezactivat pentru a vă conecta de la ISP (și WAN) la porturile serverului, permite conexiuni externe din rețeaua fără fir.
Dacă trebuie să deschideți porturile serverului în firewall:

iptables – A INPUT -p tcp -m tcp –dport 22 -j ACCEPT

înlocuiți tcp la udp dacă este necesar, iar intervalele de porturi pot adăugați cu de la: la model.
dacă ceva nu este în regulă și închideți-vă, puteți reseta regulile firewall-ului:

iptables -F

Cel mai simplu mod, dacă instalați un webmin în sistemul dvs. server, are un GUI excelent pentru configuratorul de firewall. Dar amintiți-vă întotdeauna comanda „iptables -F” dacă vă închideți și nu puteți accesa webmin

Comentarii

• I ' am încercat acest lucru, dar nu ' funcționează, eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; router: 10.90.10.101/24; % sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 % sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 PS: Am modificat regula dvs. iptables pentru # iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE

Acest lucru ar trebui să fie posibil (din perspectiva serverului) dacă definiți eth0 (și poate eth1, de asemenea) ca o interfață punct-la-punct (vezi man ip-address, peer).

Din opinia mea, selectarea adresei este o idee proastă în toate aspectele. Rețelele eth1 și WLAN nu ar trebui să se suprapună.Acest lucru nu este posibil dacă eth1 nu este o interfață punct-la-punct și WLAN începe de la 102.

Și mai rău pe router: IP-ul său LAN face parte din rețeaua WLAN, deci ar trebui să fie și p2p (poate fi configurat acest lucru pe router?).