Я создаю DYI для своего дома, который будет простым шлюзом безопасности (только для тестирования). Я пытаюсь выяснить, как перенаправить или направить весь трафик через шлюз безопасности:
- Он будет подключен проводом и располагаться за маршрутизатором.
- Будет использоваться одна сетевая карта
- Security Gateway будет работать под управлением ClearOS (CentOS)
- Цель — сканирование всего сетевого трафика/фильтрация контента.
Схема (шлюз безопасности и ПК находятся на одной стороне с модемом/маршрутизатором)
Modem/Router--->security gateway
|
|
|
PC
- Я отредактировал /etc/sysctl.conf и вставил: net.ipv4.ip_forward = 1. Затем перезагрузил sysctl -p
- Пробовал команду iptable для пересылки трафика в и из. А также с помощью POSTROUTE
iptables -t nat -A POSTROUTING -o eno16777736 -j МАСКАРАД iptables -A ПЕРЕСЫЛКА -i eno16777736 -j ПРИНЯТЬ iptables -A ПЕРЕСЫЛКА -o eno16777736 -j ПРИНЯТЬ
Я думал, что устройство GW (192.168.40.23) будет пересылать весь трафик, если я создам трафик со своего компьютера и пропингую модем/маршрутизатор или даже google.com. PCAP не показывает трафик с моего IP 192.168.40.17 на 192.168.40.23, когда я пропингую модем/маршрутизатор 192.168.40.254. Не уверен, почему? Что я делаю не так?
решение1
1.) Я могу сделать шлюз безопасности IP-шлюзом по умолчанию, верно?
Вы могли бы, но вам не нужно. Вы все равно можете использовать свой маршрутизатор в качестве DHCP-сервера для устройств по ту сторону устройства безопасности. DHCP-запросы, поступающие с другой стороны шлюза безопасности, можно просто перенаправлять на ваш маршрутизатор без необходимости настраивать DHCP-сервер на самом шлюзе безопасности.
Однако мне нужно убедиться, что DHCP-сервер на маршрутизаторе выключен, а DHCP-сервер на устройстве безопасности включен, верно?
Не обязательно. Это следует делать только в том случае, если вы хотите дать вашему шлюзу безопасности статический IP-адрес, а также позволить устройству безопасности обрабатывать DHCP для устройств, которые вы будете использовать в своей локальной сети, что, как упоминалось выше, не является обязательным.
2.) Создать статический маршрут/IP-переадресацию. Это должно работать правильно?
Да. Разрешите пересылку пакетов на шлюзе безопасности, отредактировав /etc/sysctl.conf.
Раскомментируйте строку (или добавьте ее, если ее нет):
net.ipv4.ip_forward=1
Затем выполните:
sysctl -p /etc/sysctl.conf
Вам также необходимо убедиться, что брандмауэр на вашем шлюзе безопасности разрешает переадресацию для соответствующих интерфейсов.
Что касается статических маршрутов, они понадобятся только в том случае, если вы захотите разделить свою настройку на несколько подсетей. Поскольку вы можете выполнить настройку с помощью одной подсети, вам не придется добавлять маршруты. Вся информация о маршрутизации, необходимая устройствам в вашей локальной сети, будет получена через их запросы DHCP.