Firewall
在同一介面上路由傳入和傳出
我的路由器目前為網路中的所有 PC 和 Ubuntu 桌面(具有一些伺服器功能)提供 NAT。我想將 Ubuntu 系統用作合適的防火牆,但它只有一個乙太網介面。因此,我設想通過以下方式使其執行:
Ubuntu/firewall router/WAN DHCP IP 192.168.1.1 192.168.1.10 192.168.1.* GW 192.168.1.10 WAN IP 192.168.1.1
- 如果我按照我的描述靜態配置我的 Ubuntu 系統和路由器,我能期望一切正常嗎?
- 使用單個物理介面來處理
INPUT和可以FORWARD嗎?我需要做一些事情,比如創建虛擬介面嗎?
我已經完成了我在問題中描述的內容。這是允許我這樣做的 Ubuntu 配置:
$ sudoedit /etc/network/interfaces auto eth0 iface eth0 inet static address 192.168.0.10 netmask 255.255.255.0 gateway 192.168.0.1(實際上
br0在我的文件中,從橋接 VM 到物理 LAN,但我已將它們替換為更通用的eth0)$ sudoedit /etc/sysctl.conf # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1基本上,
sysctl.conf我相信,我的數據包轉發配置是允許我的設置工作的。我已經確認設置確實有效,因為之前看到
traceroutes並且在 Ubuntu 上配置的防火牆規則實際上按預期過濾了流量。192.168.0.10``192.168.0.1
為什麼不使用兩個獨立的網路?只需一張卡就可以輕鬆添加不同網路的兩個 IP(eth0、eth0:1、eth0:2 等…)。
ifconfig eth0 192.168.1.1/24 ifconfig eth0:0 192.168.10.1/24這樣,所有電腦都將位於網路內,而無需通過 Ubuntu FW 路由訪問 Internet,Ubuntu FW 知道如何將通信從一個網路傳輸到另一個網路。