Ich suche nach Anleitungen zum Einrichten eines privaten LAN-Netzwerks innerhalb der Grenzen eines anderen Netzwerks, alles unter Linux, mit Open-Source-Firewalls und -Software. Hier ist das Szenario:
Ich habe einen Desktop-Computer, den ich mit dem Internet verbinden möchte. Ich möchte, dass der Desktop auch einen lokalen Server hostet, der über Ethernet mit anderen Maschinen verbunden ist, z. B. Raspberry Pi, einem Laptop usw., und so ein privates LAN bildet.
Ich möchte, dass der Desktop sowohl auf das Internet als auch auf das private LAN zugreifen kann, während andere Computer nur innerhalb des LANs kommunizieren können, ohne Internetzugang zu haben. Darüber hinaus möchte ich sicherstellen, dass andere Computer im Hauptnetzwerk, die zwar Internetzugang haben, aber nicht Teil meines privaten LANs sind, das private LAN oder einen Fernzugriff darauf vom Internet aus nicht sehen oder darauf zugreifen können.
Können Sie mir bitte Hinweise geben, wie ich dieses Setup mit Open-Source-Firewalls und -Software unter Linux (PopOS auf dem Desktop) erreichen kann? Darüber hinaus würde ich mich über alle Tutorials oder Ressourcen freuen, auf die Sie mich für weitere Informationen zu diesem Thema hinweisen könnten.
Ich danke Ihnen für Ihre Hilfe!
Antwort1
Stellen Sie sicher, dass der Computer physisch über genügend Netzwerkschnittstellen verfügt. Installieren Sie bei Bedarf einen zweiten Ethernet-Port (als PCIe-Karte). Konfigurieren Sie die zweite Netzwerkschnittstelle mit einer IP-Adresse (muss ein anderes IP-Subnetz als Ihr Hauptnetzwerk sein) und verbinden Sie sie dann mit einem Ethernet-Switch für alle Ihre „privaten LAN“-Geräte.
Der Einfachheit halber möchten Sie wahrscheinlich einen DHCP-Server installieren (dnsmasq, isc-dhcp-server oder ähnliches). Konfigurieren Sie ihn so, dass er IP-Adressen auf der neuen Schnittstelle ausgibt.
Richten Sie abschließend Firewall-Regeln ein, um den gesamten Netzwerkverkehr von oder zur neuen Schnittstelle zu blockieren – ein Paar einfacher „DROP“-Regeln in der „FORWARD“-Kette von iptables oder nftables. (Es reicht nicht aus, die IP-Weiterleitung systemweit deaktiviert zu lassen, da Dinge wie Docker sie oft wieder aktivieren würden.)