Ich erstelle ein DYI für mein Zuhause, das ein einfaches Sicherheitsgateway sein soll (nur zum Testen). Ich versuche herauszufinden, wie ich den gesamten Datenverkehr über das Sicherheitsgateway weiterleiten oder routen kann:
- Es wird verkabelt und befindet sich hinter dem Router.
- Es wird eine Netzwerkkarte verwendet
- Security Gateway wird ClearOS (CentOS) ausführen
- Zweck ist das Scannen des gesamten Netzwerkverkehrs/die Inhaltsfilterung.
Diagramm (Sicherheitsgateway und PC befinden sich beide auf der gleichen Seite wie Modem/Router)
Modem/Router--->security gateway
|
|
|
PC
- Ich habe /etc/sysctl.conf bearbeitet und eingefügt: net.ipv4.ip_forward = 1. Dann sysctl -p neu geladen
- Habe den iptable-Befehl ausprobiert, um den ein- und ausgehenden Verkehr weiterzuleiten. Außerdem habe ich POSTROUTE verwendet.
iptables -t nat -A POSTROUTING -o eno16777736 -j MASQUERADE iptables -A WEITER -i eno16777736 -j AKZEPTIEREN iptables -A WEITER -o eno16777736 -j AKZEPTIEREN
Ich hatte gedacht, dass der gesamte Datenverkehr an das GW-Gerät (192.168.40.23) weitergeleitet würde, wenn ich Datenverkehr von meinem Computer aus erzeuge und das Modem/den Router oder sogar google.com anpinge. PCAP zeigt keinen Datenverkehr von meiner IP 192.168.40.17 zu 192.168.40.23 an, wenn ich das Modem/den Router 192.168.40.254 anpinge. Ich bin mir nicht sicher, warum? Was mache ich falsch?
Antwort1
1.) Ich könnte das Sicherheitsgateway zum Standard-IP-Gateway machen, richtig?
Sie könnten, müssen es aber nicht. Sie könnten Ihren Router weiterhin als DHCP-Server für die Geräte auf der anderen Seite des Sicherheitsgeräts verwenden. DHCP-Anfragen, die von der anderen Seite des Sicherheitsgateways kommen, können einfach an Ihren Router weitergeleitet werden, ohne dass Sie auf dem Sicherheitsgateway selbst einen DHCP-Server einrichten müssen.
Ich müsste jedoch sicherstellen, dass der DHCP-Server im Router ausgeschaltet und der DHCP-Server auf dem Sicherheitsgerät eingeschaltet ist, richtig?
Nicht unbedingt. Sie sollten dies nur tun, wenn Sie Ihrem Sicherheitsgateway eine statische IP-Adresse zuweisen und das Sicherheitsgerät DHCP für die Geräte handhaben lassen möchten, die Sie in Ihrem LAN verwenden, was, wie oben erwähnt, nicht erforderlich ist.
2.) Statische Route/IP-Weiterleitung erstellen. Das sollte doch funktionieren, oder?
Ja. Erlauben Sie die Paketweiterleitung auf dem Sicherheitsgateway, indem Sie bearbeiten /etc/sysctl.conf.
Entfernen Sie die Kommentarzeichen aus der Zeile (oder fügen Sie sie hinzu, falls sie nicht vorhanden ist):
net.ipv4.ip_forward=1
Dann renne:
sysctl -p /etc/sysctl.conf
Sie müssen außerdem sicherstellen, dass die Firewall auf Ihrem Sicherheitsgateway die Weiterleitung für die entsprechenden Schnittstellen zulässt.
Statische Routen werden nur benötigt, wenn Sie Ihr Setup in mehrere Subnetze aufteilen möchten. Da Sie Ihr Setup mit einem einzigen Subnetz erreichen können, müssen Sie keine Routen hinzufügen. Alle Routing-Informationen, die die Geräte in Ihrem LAN benötigen, werden über ihre DHCP-Anfragen abgerufen.