Estoy buscando orientación sobre cómo configurar una red LAN privada dentro de los límites de otra red, todo en Linux, utilizando software y firewalls de código abierto. Este es el escenario:
Tengo una computadora de escritorio que quiero conectar a Internet. Quiero que el escritorio también aloje un servidor local conectado vía Ethernet a otras máquinas, por ejemplo, Raspberry Pi, una computadora portátil, etc., formando una LAN privada.
Quiero que el escritorio tenga acceso tanto a Internet como a la LAN privada, mientras restringo que otras máquinas se comuniquen solo dentro de la LAN sin acceso a Internet. Además, quiero asegurarme de que otras computadoras en la red principal, que tienen acceso a Internet pero que no son parte de mi LAN privada, no puedan ver ni acceder a la LAN privada ni a ningún acceso remoto a ellas desde Internet.
¿Podría brindarnos orientación sobre cómo lograr esta configuración utilizando firewalls y software de código abierto en Linux (popOS en el escritorio)? Además, agradecería cualquier tutorial o recurso que pudiera indicarme para obtener más información sobre este tema.
¡Gracias por su ayuda!
Respuesta1
Asegúrese de que la computadora tenga suficientes interfaces de red físicamente; instale un segundo puerto Ethernet si es necesario (como una tarjeta PCIe). Configure la segunda interfaz de red con alguna dirección IP (debe ser una subred IP diferente a la de su red principal), luego conéctela a un conmutador Ethernet para todos sus dispositivos de "LAN privada".
Probablemente querrás instalar un servidor DHCP por conveniencia (dnsmasq, isc-dhcp-server o similar). Configúrelo para emitir direcciones IP en la nueva interfaz.
Finalmente, configure reglas de firewall para bloquear todo el tráfico de red desde o hacia la nueva interfaz: un par de reglas simples 'DROP' en la cadena 'FORWARD' de iptables o nftables. (No es suficiente mantener el reenvío de IP deshabilitado en todo el sistema, ya que cosas como Docker a menudo lo volverían a habilitar).