Estou criando um DYI para minha casa, que será um gateway de segurança simples (apenas testes). Estou tentando descobrir como encaminhar ou rotear todo o tráfego através do gateway de segurança:
- Ele será conectado e ficará atrás do roteador.
- Uma NIC será usada
- O Security Gateway estará executando ClearOS (CentOS)
- O objetivo é verificar todo o tráfego de rede/filtragem de conteúdo.
Diagrama (o gateway de segurança e o PC estão no mesmo lado do modem/roteador)
Modem/Router--->security gateway
|
|
|
PC
- Editei /etc/sysctl.conf e inseri: net.ipv4.ip_forward = 1. Em seguida, recarreguei sysctl -p
- Tentei o comando iptable para encaminhar o tráfego de entrada e saída. Além de usar POSTROUTE
iptables -t nat -A POSTROUTING -o eno16777736 -j MASQUERADE iptables -A FORWARD -i eno16777736 -j ACEITAR iptables -A FORWARD -o eno16777736 -j ACEITAR
Eu pensei que o dispositivo GW (192.168.40.23) seria encaminhado para todo o tráfego se eu criasse tráfego no meu computador e fizesse ping no modem/roteador ou até mesmo no google.com. O PCAP não está mostrando nenhum tráfego do meu ip 192.168.40.17 para 192.168.40.23 quando faço ping no modem/roteador 192.168.40.254. Não sei por quê? O que estou fazendo de errado?
Responder1
1.) Eu poderia tornar o gateway de segurança o gateway IP padrão, correto?
Você poderia, mas não é necessário. Você ainda pode usar seu roteador como servidor DHCP para os dispositivos do outro lado do dispositivo de segurança. As solicitações DHCP provenientes do outro lado do gateway de segurança podem simplesmente ser encaminhadas para o seu roteador sem a necessidade de configurar um servidor DHCP no próprio gateway de segurança.
No entanto, eu precisaria ter certeza de que o servidor DHCP no roteador está desligado e o servidor DHCP no dispositivo de segurança ligado, correto?
Não necessariamente. Você só deve fazer isso no caso em que deseja fornecer ao seu gateway de segurança um IP estático e também permitir que o dispositivo de segurança lide com o DHCP para os dispositivos que você usará na sua LAN, o que, como mencionado acima, não é necessário.
2.) Crie rota estática/encaminhamento de IP. Isso deve funcionar correto?
Sim. Permita o encaminhamento de pacotes no gateway de segurança editando o arquivo /etc/sysctl.conf.
Remova o comentário da linha (ou adicione-a se não estiver presente):
net.ipv4.ip_forward=1
Então corra:
sysctl -p /etc/sysctl.conf
Você também precisará certificar-se de que o firewall do seu gateway de segurança esteja permitindo o encaminhamento para as interfaces apropriadas.
Quanto às rotas estáticas, elas só serão necessárias se você quiser dividir sua configuração em várias sub-redes. Como você pode realizar sua configuração usando uma única sub-rede, não será necessário adicionar rotas. Todas as informações de roteamento necessárias aos dispositivos da sua LAN serão adquiridas por meio de solicitações DHCP.