オープンソースのファイアウォールとソフトウェアを使用して、すべて Linux 上で別のネットワークの範囲内にプライベート LAN ネットワークを設定する方法についてのアドバイスを求めています。シナリオは次のとおりです。
インターネットに接続したいデスクトップ コンピューターがあります。また、このデスクトップで、イーサネット経由で他のマシン (Raspberry Pi、ラップトップなど) に接続されたローカル サーバーをホストし、プライベート LAN を形成したいと思っています。
デスクトップがインターネットとプライベート LAN の両方にアクセスできるようにし、他のマシンはインターネットにアクセスせずに LAN 内でのみ通信できるように制限します。さらに、インターネットにアクセスできるがプライベート LAN の一部ではないメイン ネットワーク上の他のコンピューターがプライベート LAN を表示またはアクセスしたり、インターネットからリモート アクセスしたりできないようにします。
Linux (デスクトップ上の popOS) でオープンソースのファイアウォールとソフトウェアを使用してこの設定を実現するためのガイダンスを提供していただけますか? また、このトピックに関する詳細情報について紹介していただけるチュートリアルやリソースがあれば、教えていただければ幸いです。
助けてくれてありがとう!
答え1
コンピュータに物理的に十分なネットワーク インターフェイスがあることを確認します。必要な場合は、2 番目のイーサネット ポートをインストールします (PCIe カードとして)。2 番目のネットワーク インターフェイスを IP アドレス (メイン ネットワークとは異なる IP サブネットである必要があります) で構成し、すべての「プライベート LAN」デバイスのイーサネット スイッチに接続します。
利便性のために、DHCP サーバー (dnsmasq、isc-dhcp-server など) をインストールすることをお勧めします。新しいインターフェイスで IP アドレスを発行するように構成します。
最後に、新しいインターフェースとの間のすべてのネットワーク トラフィックをブロックするファイアウォール ルールを設定します。iptables または nftables の「FORWARD」チェーンに、単純な「DROP」ルールのペアを設定します。(システム全体で IP 転送を無効にしておくだけでは不十分です。Docker などによって IP 転送が再度有効になることがよくあります)。