Interne und externe Netzwerkkonfiguration des Ubuntu 18.04-Servers

tag-icon tag-icon ubuntu iptables iptables-persistent
Interne und externe Netzwerkkonfiguration des Ubuntu 18.04-Servers

Ich habe ein Problem mit der Konfiguration des internen und externen Netzwerks im Ubuntu 18.04 Server. Der Fall ist, dass ich ein Gateway-Gerät habe, das einen DHCP-Dienst hat, um IP-Adressen für per WLAN verbundene Geräte zu leasen. Die IP-Adresse des Gateway-Geräts eth0 ist 192.168.1.120 und das Gateway-Gerät wlan0 hat die statische IP-Adresse 10.10.0.1 und der erste WLAN-Client erhält die IP-Adresse 10.10.0.2. Das Gateway-Gerät eth0 hat Internetzugang. Aber per WLAN0 verbundene Geräte sollten nur Zugriff auf Gateway-Gerätedienste haben, z. B. MySql oder benutzerdefinierte REST-APIs.

Regel 1: Das Gateway-Gerät sollte Zugriff auf das Internet haben.

[eth0]<-->[Internet]

Regel 2: Über WLAN verbundene Geräte sollten nur auf Gateway-Gerätedienste zugreifen können.

[WlanClient]<-->[wlan0]<-->[eth0]--||Kein Zugriff||--[Internet]

Ich habe den Ubuntu 18.04 Server und die grundlegenden Dienste installiert und bin nun an dem Punkt, an dem ich Netzwerkeinschränkungen erstellen sollte.

Ich habe die folgenden Einstellungen vorgenommen, damit über WLAN0 verbundene Geräte die Gateway-Gerätedienste nutzen können. Allerdings haben auch über WLAN0 verbundene Geräte jetzt Internetzugang, der eingeschränkt werden sollte.

/etc/sysctl.conf

net.ipv4.ip_forward=1

iptables-Konfiguration

iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables-save  > /etc/iptables/rules.v4
iptables-restore  < /etc/iptables/rules.v4

Kann mir jemand bei der Konfiguration helfen?

Antwort1

Um Ihr Problem zu lösen, müssen Sie mit der FORWARDKette der filterTabelle arbeiten. Die FORWARDTabelle wird verwendet, um jedes Paket zu filtern, das zum oder vom Host gesendet wird. (Im Gegensatz dazu INPUTist die Tabelle für eingehenden Datenverkehr und OUTPUTdie Tabelle für ausgehenden Datenverkehr). Es gibt eigentlich zwei Ansätze:

1/ Sie begrenzen den gesamten Datenverkehr und öffnen je nach Bedarf:

iptables -t filter -P FORWARD DROP

iptables -t filter -A FORWARD [your rule #1 to match allowed streams(s)] -j ACCEPT

2/ Sie begrenzen den Datenverkehr nur für die Geräte, deren Zugriff Sie einschränken möchten:

iptables -t filter -P FORWARD ACCEPT
iptables -t filter -A FORWARD [your rule #1 to match forbidden stream(s)] -j REJECT --reject-with admin-prohib

Normalerweise ist die bewährte Vorgehensweise in Bezug auf die Sicherheit der erste Ansatz.

verwandte Informationen