Я ищу руководство по настройке частной локальной сети в пределах другой сети, все на Linux, с использованием брандмауэров и программного обеспечения с открытым исходным кодом. Вот сценарий:
У меня есть настольный компьютер, который я хочу подключить к Интернету. Я хочу, чтобы на рабочем столе также размещался локальный сервер, подключенный через Ethernet к другим машинам, например, Raspberry Pi, ноутбуку и т. д., образуя частную локальную сеть.
Я хочу, чтобы у рабочего стола был доступ как к Интернету, так и к частной локальной сети, при этом ограничивая любые другие машины только для связи внутри локальной сети без доступа к Интернету. Кроме того, я хочу гарантировать, что другие компьютеры в основной сети, которые имеют доступ к Интернету, но не являются частью моей частной локальной сети, не смогут видеть или получать доступ к частной локальной сети или к любому удаленному доступу к ним из Интернета.
Не могли бы вы предоставить руководство по достижению этой настройки с использованием брандмауэров с открытым исходным кодом и программного обеспечения на Linux (popOS на десктопе)? Кроме того, я был бы признателен за любые руководства или ресурсы, на которые вы могли бы мне указать для получения дополнительной информации по этой теме.
Спасибо за помощь!
решение1
Убедитесь, что на компьютере достаточно сетевых интерфейсов физически – при необходимости установите второй порт Ethernet (как карту PCIe). Настройте второй сетевой интерфейс с каким-либо IP-адресом (должен быть IP-подсетью, отличной от вашей основной сети), затем подключите его к коммутатору Ethernet для всех ваших устройств «частной локальной сети».
Вероятно, для удобства вам понадобится установить DHCP-сервер (dnsmasq, isc-dhcp-server или аналогичный). Настройте его для выдачи IP-адресов на новом интерфейсе.
Наконец, настройте правила брандмауэра для блокировки всего сетевого трафика с нового интерфейса или на него — пара простых правил «DROP» в цепочке «FORWARD» iptables или nftables. (Недостаточно просто отключить переадресацию IP во всей системе, поскольку такие вещи, как Docker, часто будут включать ее снова.)