私は自宅用に、シンプルなセキュリティ ゲートウェイ (テストのみ) となる DYI を作成しています。すべてのトラフィックをセキュリティ ゲートウェイ経由で転送またはルーティングする方法を考えています。
- 有線接続され、ルーターの後ろに設置されます。
- 1つのNICが使用されます
- セキュリティゲートウェイはClearOS(CentOS)を実行します
- 目的は、すべてのネットワーク トラフィックをスキャンし、コンテンツをフィルタリングすることです。
図 (セキュリティ ゲートウェイと PC は両方ともモデム/ルーターと同じ側にあります)
Modem/Router--->security gateway
|
|
|
PC
- /etc/sysctl.confを編集し、net.ipv4.ip_forward = 1を挿入しました。その後、sysctl -pを再ロードしました。
- トラフィックの送受信にiptableコマンドを試しました。POSTROUTEを使用するだけでなく
iptables -t nat -A POSTROUTING -o eno16777736 -j MASQUERADE iptables -A FORWARD -i eno16777736 -j ACCEPT iptables -A FORWARD -o eno16777736 -j ACCEPT
コンピュータからトラフィックを作成し、モデム/ルーターまたは google.com に ping を実行した場合、すべてのトラフィックが GW デバイス (192.168.40.23) に転送されると考えていました。モデム/ルーター 192.168.40.254 に ping を実行しても、PCAP には IP 192.168.40.17 から 192.168.40.23 へのトラフィックが表示されません。理由がわかりません。何が間違っているのでしょうか。
答え1
1.) セキュリティゲートウェイをデフォルトの IP ゲートウェイにすることはできますか?
可能ですが、必須ではありません。セキュリティ デバイスの反対側にあるデバイス用の DHCP サーバーとしてルーターを使用することもできます。セキュリティ ゲートウェイの反対側から送信される DHCP 要求は、セキュリティ ゲートウェイ自体に DHCP サーバーを設定しなくても、ルーターに転送できます。
ただし、ルーターの DHCP サーバーがオフになっていて、セキュリティ デバイスの DHCP サーバーがオンになっていることを確認する必要がありますよね?
必ずしもそうではありません。セキュリティ ゲートウェイに静的 IP を割り当て、LAN 上で使用するデバイスの DHCP をセキュリティ デバイスで処理する場合にのみ、これを行う必要があります。これは、前述のとおり必須ではありません。
2.) 静的ルート/IP 転送を作成します。これで正しく動作するはずですか?
はい。編集して、セキュリティ ゲートウェイでのパケット転送を許可します/etc/sysctl.conf。
次の行のコメントを解除します (存在しない場合は追加します)。
net.ipv4.ip_forward=1
次に以下を実行します:
sysctl -p /etc/sysctl.conf
また、セキュリティ ゲートウェイのファイアウォールが適切なインターフェイスへの転送を許可していることを確認する必要があります。
静的ルートについては、セットアップを複数のサブネットに分割する場合にのみ必要になります。単一のサブネットを使用してセットアップを実現できるため、ルートを追加する必要はありません。LAN 上のデバイスに必要なルーティング情報はすべて、DHCP 要求を通じて取得されます。