Ubuntu 18.04 サーバーで内部および外部ネットワークを構成する際に問題が発生しています。ケースとしては、WLAN 接続デバイスに IP アドレスをリースする DHCP サービスを備えたゲートウェイ デバイスがあります。ゲートウェイ デバイス eth0 の IP アドレスは 192.168.1.120 で、ゲートウェイ デバイス wlan0 には静的 IP アドレス 10.10.0.1 があり、最初の wlan クライアントは IP アドレス 10.10.0.2 を取得します。ゲートウェイ デバイス eth0 はインターネットにアクセスできます。ただし、wlan0 接続デバイスはゲートウェイ デバイス サービス (MySql やカスタム REST API など) にのみアクセスできる必要があります。
ルール 1: ゲートウェイ デバイスはインターネットにアクセスできる必要があります。
[eth0]<-->[インターネット]
ルール 2: WLAN に接続されたデバイスは、ゲートウェイ デバイス サービスにのみアクセスできる必要があります。
[WlanClient]<-->[wlan0]<-->[eth0]--||アクセスなし||--[インターネット]
私が行ったことは、Ubuntu 18.04 Server をインストールし、基本的なサービスをインストールしたことです。そして今、ネットワーク制限を作成する必要があります。
wlan0 に接続されたデバイスがゲートウェイ デバイス サービスを使用できるようにするために、次の設定を行いました。ただし、wlan0 に接続されたデバイスもインターネット アクセスを持つようになり、制限される必要があります。
sysctl.conf は、
net.ipv4.ip_forward=1
iptables の設定
iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
iptables-restore < /etc/iptables/rules.v4
誰か設定を手伝ってくれませんか?
答え1
FORWARD問題を解決するには、テーブルのチェーンを操作する必要がありますfilter。FORWARDテーブルは、ホストとの間で送受信されるすべてのパケットをフィルタリングするために使用されます。(逆に、テーブルはINPUT着信トラフィック用、OUTPUTテーブルは発信トラフィック用です)。実際には 2 つのアプローチがあります。
1/ すべてのトラフィックを制限し、必要に応じて開きます。
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD [your rule #1 to match allowed streams(s)] -j ACCEPT
2/ アクセスを制限したいデバイスのみにトラフィックを制限します。
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -A FORWARD [your rule #1 to match forbidden stream(s)] -j REJECT --reject-with admin-prohib
通常、セキュリティの観点から良い方法は 1 番目のアプローチです。