Estoy creando un DYI para mi hogar, que será una puerta de enlace de seguridad simple (solo prueba). Estoy intentando descubrir cómo reenviar o enrutar todo el tráfico a través del gateway de seguridad:
- Estará cableado y se ubicará detrás del enrutador.
- Se utilizará una NIC
- Security Gateway ejecutará ClearOS (CentOS)
- El propósito es escanear todo el tráfico de la red/filtrado de contenido.
Diagrama (tanto la puerta de enlace de seguridad como la PC están en el mismo lado que el módem/enrutador)
Modem/Router--->security gateway
|
|
|
PC
- Edité /etc/sysctl.conf e inserté: net.ipv4.ip_forward = 1. Luego recargué sysctl -p
- Probé el comando iptable para reenviar el tráfico de entrada y salida. Además de utilizar POSTROUTE
iptables -t nat -A POSTROUTING -o eno16777736 -j MASQUERADE iptables -A ADELANTE -i eno16777736 -j ACEPTAR iptables -A ADELANTE -o eno16777736 -j ACEPTAR
Había pensado que al dispositivo GW (192.168.40.23) se reenviaría todo el tráfico si creaba tráfico desde mi computadora y hacía ping al módem/enrutador o incluso a google.com. PCAP no muestra ningún tráfico desde mi IP 192.168.40.17 a 192.168.40.23 cuando hago ping al módem/enrutador 192.168.40.254. ¿No estás seguro de por qué? ¿Qué estoy haciendo mal?
Respuesta1
1.) Podría hacer que la puerta de enlace de seguridad sea la puerta de enlace IP predeterminada, ¿correcto?
Podrías, pero no es necesario. Aún puede usar su enrutador como servidor DHCP para los dispositivos al otro lado del dispositivo de seguridad. Las solicitudes DHCP provenientes del otro lado de la puerta de enlace de seguridad pueden simplemente reenviarse a su enrutador sin tener que configurar un servidor DHCP en la puerta de enlace de seguridad.
Sin embargo, necesitaría asegurarme de que el servidor DHCP en el enrutador esté apagado y el servidor DHCP en el dispositivo de seguridad encendido, ¿correcto?
No necesariamente. Sólo debe hacer esto en el caso de que desee darle a su puerta de enlace de seguridad una IP estática y también dejar que el dispositivo de seguridad maneje DHCP para los dispositivos que usará en su LAN, lo cual, como se mencionó anteriormente, no es necesario.
2.) Crear ruta estática/reenvío de IP. ¿Esto debería funcionar correctamente?
Sí. Permita el reenvío de paquetes en la puerta de enlace de seguridad editando /etc/sysctl.conf.
Descomente la línea (o agréguela si no está presente):
net.ipv4.ip_forward=1
Entonces corre:
sysctl -p /etc/sysctl.conf
También deberá asegurarse de que el firewall de su puerta de enlace de seguridad permita el reenvío a las interfaces adecuadas.
En cuanto a las rutas estáticas, sólo serán necesarias si desea dividir su configuración en varias subredes. Dado que puede lograr su configuración utilizando una única subred, no tendrá que agregar rutas. Toda la información de enrutamiento que necesitan los dispositivos en su LAN se adquirirá a través de sus solicitudes DHCP.