Ağ Geçidi / Yönlendirici ve Güvenlik Duvarı olarak Ubuntu 14.04


16

Mevcut sistem kurulumum Ubuntu 14.04 Masaüstü 64 Bit ve genel bir IP kullanan bir yönlendiriciden İnternet kullanıyorum

eth0 - WAN Public IP 182.x.x.x  
eth1 - LAN private IP 192.168.0.1

Şimdi bir olarak benim sistemini kullanarak diğer bilgisayarlara bu bağlantıyı dağıtmak istiyorsunuz GatewayIP, My sistemi 192.168.0.1ve ağdaki diğer bilgisayarların statik IP kullanıyor 192.168.0.2ve 192.168.0.255 olarak staticve / veya DHCP.

Ayrıca ağdaki diğer sistemlerin trafiğini izleyebilmem ve kontrol edebilmem için sistemimde bir güvenlik duvarı kurmak istiyorum.

Yanıtlar:


15
  1. Terminal Ctrl+ Alt+ açınT

  2. interfacesDosyayı düzenlemek için aşağıdaki komutu girin :

    sudo vim /etc/network/interfaces
    
  3. Düzenleme şu satırlarla dosyası: (senin eklemek netmaskve gateway)

    auto lo 
    iface lo inet loopback
    
    auto eth0
    iface eth0 inet static
    address 182.x.x.x 
    netmask  x.x.x.x 
    gateway x.x.x.x
    
    auto eth1
    iface eth1 inet static 
    address 192.168.0.1
    netmask x.x.x.x
    
  4. Şimdi düzenleyin /etc/sysctl.confve uncomment:

    # net.ipv4.ip_forward=1
    

    böylece okur:

    net.ipv4.ip_forward=1
    

    ve girerek kaydedin

    sudo sysctl -p /etc/sysctl.conf

  5. IP maskelenmesini etkinleştirmek için terminalde aşağıdaki komut kümesini girin:

    sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    
    sudo iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    
    sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
    

Güncelleme: Komutun başarısız olmasına ve nat MASQUERADE'in eth0'a (wan arayüzü) neden olmasına neden olan garip "-state" düzeltmesi


her şeyi tavsiye edildiği gibi yaptım ... ama eğer / etc / network / arayüzlerini düzenler ve hizmeti yeniden başlatırsam eth1'e otomatik olarak bağlanır ve eth0 aracılığıyla internete bağlanmaz. GUI modunu kullanarak connectio'yu düzenlersem eth0 kullanarak internete bağlanır. Şimdi sorun IP 192.168.0.5/nm.255.255.255.0/gw.192.168.0.1 kullanarak istemci bilgisayarımı internete bağlayamıyorum. herhangi bir öneri?
Santi Varghese

3
Satırı değiştirdikten sonra , yeni değerin geçerli olması net.ipv4.ip forward=1için çalıştırmak istediğinizi eklemek istiyorum sudo sysctl -p /etc/sysctl.conf.
Samuel Li

2
Aygıtların 5. adımdaki son iki satırda değiştirilmesine devam edersiniz ve varsayılan güvenlikten bahsetmezsiniz (yani ileri, bir DROP ilkesi olmalıdır).
chreekat

3

@ chreekat'ın yorumu, Ethernet adaptörlerinin @ Anbu'nun cevabının 5. adımında değiştirildiği doğrudur ve gösterildiği gibi (2017-02-21 itibariyle), ortak ağdaki herkes tarafından özel ağa sınırsız erişime izin veren BÜYÜK bir GÜVENLİK DELİĞİ oluşturur .

Adım 5 için düzeltilmiş yapılandırma aşağıda gösterilmiştir.

Çalışma teorisi: (Kural # 2) Genel ağdan (eth0) gelen paketler, ancak gelen kamu paketi, bir sunucu tarafından özel ağ. (Kural # 3) Özel ağdan (eth1) gelen tüm paketleri kabul edin ve genel ağa (eth0) iletin.

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

0

Kullandığım bu, her zaman iyi çalışıyor. Çeşitli öğreticilerin bir kombinasyonu. Ubuntu 16.04LTS'de de test edildi.

Adım A-- ufw'nin kurulu olduğundan emin olun

sudo apt-get install ufw

Adım B - Ağ arayüzlerinizi yapılandırın .

sudo nano /etc/network/interfaces

Arabirimler dosyasını aşağıdaki gibi olacak şekilde yapılandırın :

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The WAN primary network interface
iface eth0 inet static
        address 182.xxx.xxx.xxx
        netmask xxx.xxx.xxx.xxx
        gateway xxx.xxx.xxx.xxx

#LAN side interface
auto eth1
iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        address 192.168.0.1

Nano veya tercih ettiğiniz başka bir düzenleyiciden CTRL-X'i seçerek dosyayı kaydedin.

Adım C - IP İletmeye İzin Ver . Yönlendirmeyi ayarlayın. /Etc/sysctl.conf dosyasını düzenleyin

sudo nano /etc/sysctl.conf

Bu hat üzerinde yorumunu çıkarmak # net.ipv4.ip_forward=1olmasını için net.ipv4.ip_forward=1 kaydet değişiklikler ve sonraki adıma geçin.

Adım D - Maskeleme / yönlendirme kuralları

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Persist iptables değişiklikleri

sudo su
sudo iptables-save > /etc/iptables.rules
sudo nano /etc/network/if-pre-up.d/iptables

Bu içeriği girin:

#!/bin/sh
iptables-restore < /etc/iptables.rules
exit 0

Değişiklikleri kaydet Ardından sonraki iptables dosyasını düzenleyin / oluşturun

sudo nano /etc/network/if-post-down.d/iptables

Bu içeriği girin:

#!/bin/sh
iptables-save -c > /etc/iptables.rules
if [ -f /etc/iptables.rules ]; then
    iptables-restore < /etc/iptables.rules
fi
exit 0

Değişiklikleri Kaydet. Her iki dosyayı da yürütülebilir yap

sudo chmod +x /etc/network/if-post-down.d/iptables
sudo chmod +x /etc/network/if-pre-up.d/iptables

Adım E - ufw yapılandırmasıyla sonlandırma

sudo nano /etc/default/ufw

Kabul etmek için parametre ileri politikasını değiştirin

DEFAULT_FORWARD_POLICY="ACCEPT"

Değişiklikleri Kaydet.

SSH'm bağlantı noktası 49870'te var, bu yüzden ufw'nin bu bağlantı noktasındaki bağlantıları kabul etmesine izin verdim :

sudo ufw allow 49870

Adım F - ufw'yi etkinleştirmeyi unutmayın .

sudo ufw enable

Bu aşamada, sisteminizi yeniden başlatın. Ardından tüm LAN aygıtları ana ağ geçidi olarak kullanabilir. Yan notta, ufw güvenlik duvarı ayarlarını yönetmek için çok uygundur.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.