우리 집에 간단한 보안 게이트웨이가 될 DYI를 만들고 있습니다(테스트 전용). 보안 게이트웨이를 통해 모든 트래픽을 전달하거나 라우팅하는 방법을 찾으려고 합니다.
- 유선으로 연결되어 라우터 뒤에 위치합니다.
- 하나의 NIC가 사용됩니다.
- Security Gateway는 ClearOS(CentOS)를 실행합니다.
- 모든 네트워크 트래픽 검사/컨텐츠 필터링이 목적입니다.
다이어그램(보안 게이트웨이와 PC가 모두 모뎀/라우터와 같은 쪽에 있음)
Modem/Router--->security gateway
|
|
|
PC
- /etc/sysctl.conf를 편집하고 삽입했습니다: net.ipv4.ip_forward = 1. 그런 다음 sysctl -p를 다시 로드했습니다.
- 트래픽을 들어오고 나가는 전달을 위해 iptable 명령을 시도했습니다. POSTROUTE를 사용하는 것뿐만 아니라
iptables -t nat -A POSTROUTING -o eno16777736 -j 가장 iptables -A FORWARD -i eno16777736 -j 승인 iptables -A FORWARD -o eno16777736 -j 승인
내 컴퓨터에서 트래픽을 생성하고 모뎀/라우터 또는 google.com에 ping을 실행하면 GW 장치(192.168.40.23)가 모든 트래픽을 전달할 것이라고 생각했습니다. 모뎀/라우터 192.168.40.254에 ping을 실행할 때 PCAP에 내 IP 192.168.40.17에서 192.168.40.23까지의 트래픽이 표시되지 않습니다. 왜 그런지 모르시나요? 내가 도대체 뭘 잘못하고있는 겁니까?
답변1
1.) 보안 게이트웨이를 기본 IP 게이트웨이로 설정할 수 있습니다. 맞나요?
할 수 있지만 반드시 그럴 필요는 없습니다. 보안 장치 반대편에 있는 장치에 대한 DHCP 서버로 라우터를 계속 사용할 수 있습니다. 보안 게이트웨이의 반대편에서 들어오는 DHCP 요청은 보안 게이트웨이 자체에 DHCP 서버를 설정할 필요 없이 간단히 라우터로 전달될 수 있습니다.
하지만 라우터의 DHCP 서버가 꺼져 있고 보안 장치의 DHCP 서버가 켜져 있는지 확인해야 합니다. 맞나요?
반드시 그런 것은 아닙니다. 보안 게이트웨이에 고정 IP를 제공하고 보안 장치가 LAN에서 사용할 장치에 대해 DHCP를 처리하도록 하려는 경우에만 이 작업을 수행해야 합니다. 위에서 언급한 것처럼 이는 필요하지 않습니다.
2.) 고정 경로/IP 전달을 생성합니다. 제대로 작동할까요?
예. 을 편집하여 보안 게이트웨이에서 패킷 전달을 허용합니다 /etc/sysctl.conf.
해당 줄의 주석 처리를 해제합니다(없으면 추가).
net.ipv4.ip_forward=1
그런 다음 다음을 실행하십시오.
sysctl -p /etc/sysctl.conf
또한 보안 게이트웨이의 방화벽이 적절한 인터페이스에 대한 전달을 허용하는지 확인해야 합니다.
고정 경로의 경우 설정을 여러 서브넷으로 분할하려는 경우에만 필요합니다. 단일 서브넷을 사용하여 설정을 수행할 수 있으므로 경로를 추가할 필요가 없습니다. LAN의 장치에 필요한 모든 라우팅 정보는 DHCP 요청을 통해 획득됩니다.