Ubuntu 14.04 come gateway / router e un firewall


16

La mia attuale configurazione del sistema è Ubuntu 14.04 Desktop 64 Bit e sto usando Internet da un router usando un IP pubblico

eth0 - WAN Public IP 182.x.x.x  
eth1 - LAN private IP 192.168.0.1

Ora voglio distribuire questa connessione ad altri computer usando il mio sistema come Gateway, Il mio IP di sistema è 192.168.0.1e altri computer sulla rete usano IP statico 192.168.0.2e 192.168.0.255 come statice / o DHCP.

Inoltre, voglio impostare un firewall sul mio sistema in modo da poter monitorare e controllare il traffico di altri sistemi sulla rete.

Risposte:


15
  1. Apri un Terminale Ctrl+ Alt+T

  2. Immettere il comando seguente per modificare il interfacesfile:

    sudo vim /etc/network/interfaces
    
  3. Modifica il file con le seguenti righe: (aggiungi il tuo netmaske gateway)

    auto lo 
    iface lo inet loopback
    
    auto eth0
    iface eth0 inet static
    address 182.x.x.x 
    netmask  x.x.x.x 
    gateway x.x.x.x
    
    auto eth1
    iface eth1 inet static 
    address 192.168.0.1
    netmask x.x.x.x
    
  4. Ora modifica /etc/sysctl.confe decommenta:

    # net.ipv4.ip_forward=1
    

    in modo che si legge:

    net.ipv4.ip_forward=1
    

    e salvalo inserendo

    sudo sysctl -p /etc/sysctl.conf

  5. Per abilitare il mascheramento IP, immettere il seguente set di comandi nel terminale:

    sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    
    sudo iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    
    sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
    

Aggiornamento: risolto strano "-–state" che causa il fallimento del comando e correzione nat MASQUERADE su eth0 (interfaccia wan)


fatto tutto come consigliato ... ma se modifico / etc / network / interfacce e riavvio il servizio si connette automaticamente a eth1 e non accederà a Internet via eth0. Se modifico la connessione usando la modalità GUI, si connette a Internet usando eth0. Ora il problema è che non riesco a connettere il mio computer client tramite IP 192.168.0.5/nm.255.255.255.0/gw.192.168.0.1 a Internet. qualche suggerimento?
Santi Varghese

3
Voglio aggiungere che dopo aver modificato la riga net.ipv4.ip forward=1, si desidera eseguire sudo sysctl -p /etc/sysctl.confper rendere effettivo il nuovo valore.
Samuel Li,

2
Hai ancora i dispositivi scambiati nelle ultime due righe al passaggio 5 e non hai alcuna menzione di sicurezza predefinita (cioè, forward dovrebbe avere un criterio DROP).
Chreekat,

3

Il commento di @ chreekat è corretto che gli adattatori Ethernet vengono scambiati nel passaggio 5 della risposta di @ Anbu e, come mostrato (dal 21-02-2017), crea UN ENORME FORO DI SICUREZZA che consente l'accesso illimitato alla rete privata da chiunque sulla rete pubblica .

La configurazione corretta per il passaggio 5 è mostrata di seguito.

Teoria di funzionamento: (Regola n. 2) I pacchetti in ingresso dalla rete pubblica (eth0) sono accettati per l'inoltro alla rete privata (eth1) se e solo se il pacchetto pubblico in ingresso è correlato a una conversazione stabilita da un host su la rete privata. (Regola n. 3) Accettare tutti i pacchetti in ingresso dalla rete privata (eth1) e inoltrarli alla rete pubblica (eth0).

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

0

Questo è quello che uso, funziona sempre bene. Una combinazione di vari tutorial. Testato anche su Ubuntu 16.04LTS.

Passaggio A: assicurarsi che ufw sia installato

sudo apt-get install ufw

Passaggio B: configura le tue interfacce di rete .

sudo nano /etc/network/interfaces

Configurare il file interfacce in modo che sia simile al seguente:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The WAN primary network interface
iface eth0 inet static
        address 182.xxx.xxx.xxx
        netmask xxx.xxx.xxx.xxx
        gateway xxx.xxx.xxx.xxx

#LAN side interface
auto eth1
iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        address 192.168.0.1

Salvare il file selezionando CTRL-X da nano o qualsiasi altro editor preferito.

Passaggio C: consentire l'inoltro IP . Imposta l'inoltro. Modifica il file /etc/sysctl.conf

sudo nano /etc/sysctl.conf

Rimuovi il commento su questa riga # net.ipv4.ip_forward=1affinché sia net.ipv4.ip_forward=1 Salva modifiche e passa al passaggio successivo.

Passaggio D - Regole di travestimento / inoltro

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Persiste i cambiamenti di iptables

sudo su
sudo iptables-save > /etc/iptables.rules
sudo nano /etc/network/if-pre-up.d/iptables

Inserisci questo contenuto:

#!/bin/sh
iptables-restore < /etc/iptables.rules
exit 0

Salva le modifiche Quindi modifica / crea il prossimo file iptables

sudo nano /etc/network/if-post-down.d/iptables

Inserisci questo contenuto:

#!/bin/sh
iptables-save -c > /etc/iptables.rules
if [ -f /etc/iptables.rules ]; then
    iptables-restore < /etc/iptables.rules
fi
exit 0

Salvare le modifiche. Rendi eseguibili entrambi i file

sudo chmod +x /etc/network/if-post-down.d/iptables
sudo chmod +x /etc/network/if-pre-up.d/iptables

Passaggio E: finalizzare con la configurazione ufw

sudo nano /etc/default/ufw

Modifica la politica di inoltro dei parametri per accettarla

DEFAULT_FORWARD_POLICY="ACCEPT"

Salvare le modifiche.

Ho il mio SSH sulla porta 49870, quindi ho anche permesso a uw di accettare connessioni su quella porta:

sudo ufw allow 49870

Passaggio F: non dimenticare di abilitare ufw .

sudo ufw enable

A questo punto, riavvia semplicemente il tuo sistema. Quindi tutti i dispositivi LAN possono usarlo come gateway principale. A proposito, ufw è molto conveniente per gestire le impostazioni del firewall.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.