我正在為我的家創建一個 DYI,這將是一個簡單的安全網關(僅測試)。我試圖弄清楚如何透過安全網關轉送或路由所有流量:
- 它將被連接並位於路由器後面。
- 將使用 1 個 NIC
- 安全網關將運行 ClearOS (CentOS)
- 目的是掃描所有網路流量/內容過濾。
圖(安全閘道和 PC 與數據機/路由器位於同一側)
Modem/Router--->security gateway
|
|
|
PC
- 我編輯了/etc/sysctl.conf並插入:net.ipv4.ip_forward = 1。
- 嘗試使用 iptable 指令轉送進出流量。以及使用 POSTROUTE
iptables -t nat -A POSTROUTING -o eno16777736 -j 偽裝 iptables -A 轉發 -i eno167777736 -j 接受 iptables -A 轉發 -o eno16777736 -j 接受
我原以為,如果我從電腦建立流量並 ping 數據機/路由器甚至 google.com,GW 裝置 (192.168.40.23) 將轉移所有流量。當我 ping 數據機/路由器 192.168.40.254 時,PCAP 沒有顯示從我的 IP 192.168.40.17 到 192.168.40.23 的任何流量。不知道為什麼?我究竟做錯了什麼?
答案1
1.) 我可以將安全網關設定為預設 IP 網關,對嗎?
你可以,但你不必這樣做。您仍然可以使用路由器作為安全設備另一側設備的 DHCP 伺服器。來自安全閘道另一端的 DHCP 請求可以簡單地轉送到您的路由器,而無需在安全閘道本身上設定 DHCP 伺服器。
但是,我需要確保路由器中的 DHCP 伺服器已關閉,並且安全設備上的 DHCP 伺服器已打開,對嗎?
不必要。只有當您想要為安全網關提供靜態 IP 並讓安全設備為您將在 LAN 上使用的設備處理 DHCP 時才應執行此操作,如上所述,這不是必需的。
2.) 建立靜態路由/IP 轉送。這應該可以正常工作嗎?
是的。透過編輯允許封包在安全網關上轉送/etc/sysctl.conf。
取消註解該行(如果不存在則新增它):
net.ipv4.ip_forward=1
然後運行:
sysctl -p /etc/sysctl.conf
您還需要確保安全閘道上的防火牆允許轉送適當的介面。
至於靜態路由,僅當您想要將設定拆分為多個子網路時才需要這些。由於您可以使用單一子網路實現設置,因此無需新增路由。 LAN 上的設備所需的所有路由資訊都將透過其 DHCP 請求取得。