Raspbian路由器/防火牆

Raspbian路由器/防火牆

各位超級用戶大家好,

這是我的區域網路的拓樸結構。廣域網路-數據機-路由器-防火牆-Pi路由器-防火牆-區域網路機器。

我在區域網路中使用一台測試機:bob。

我無法訪問 bob 的互聯網站點,我收到“目標主機無法訪問”的消息。

這是我的路線:

bob 上的路線(匿名):

預設透過pi-路由器-iface-內部-lan-eth0開發 eth0 原始碼鮑伯IP公制202

內網/24 dev eth0 原始 dhcp 範圍連結 src鮑伯IP公制202

lan-beyond-pi-router(數據機 + pi-iface-eth1)/24 透過pi-路由器-內部-lan-iface-eth0開發者eth0

pi路由器上的路由:

預設透過pi-路由器-內部-iface-eth0開發 eth0 原始碼pi-路由器-內部-iface-eth0公制202

預設透過pi-路由器-外部-iface-eth1開發 eth1 原始碼pi-路由器-外部-iface-eth1公制203

內網/24 dev eth0 原始 dhcp 範圍連結 srcpi-路由器-內部-iface-eth0公制202

超越 pi 路由器的 LAN/24 dev eth1 原型 dhcp 範圍連結 srcpi-路由器-外部-iface-eth1公制203

我使用 ufw 作為過濾器和 nat。這是我自己的想法,並不完全確定:由於我無法在調製解調器上配置via路由,因此我在Pi路由器的「外部」(eth1)介面(調製解調器端的介面)上啟用了NAT。這是我的 ufw 配置:

'#

'# 規則.之前

'#

'# 應該在 ufw 命令列新增規則之前執行的規則。風俗

'# 規則應新增至下列鏈結之一:

'# ufw-輸入前

'# ufw-輸出前

'# ufw-前向

'#

'# nat表規則

*nat

:後路由接受 - [0:0]

'# 將流量從 eth0 轉送到 eth1

-A 後路由 -s 10.0.0.0/24 -o eth1 -j 偽裝

'#個人補充,不確定

-A 後路由 -s 192.168.0.0/24 -o eth0 -j 偽裝

'# 不要刪除 'COMMIT' 行,否則這些 nat 表規則將不會被處理

犯罪

'#不要刪除這些必填行,否則會出錯

*篩選

:ufw-輸入前 - [0:0]

:ufw-輸出前 - [0:0]

:ufw-前向 - [0:0]

:ufw-非本地 - [0:0]

'# 結束所需行

'# 允許所有環回

-A ufw-輸入前 -i lo -j 接受

-A ufw-before-output -o lo -j 接受

'# 快速處理我們已經有連接的資料包

-A ufw-before-input -m conntrack --ctstate 相關,已建立 -j 接受

-A ufw-before-output -m conntrack --ctstate 相關,已建立 -j 接受

-A ufw-before-forward -m conntrack --ctstate 相關,已建立 -j 接受

'# 丟棄無效資料包(將這些資料記錄在日誌等級中等及更高等級)

-A ufw-before-input -m conntrack --ctstate 無效 -j ufw-logging-deny

-A ufw-before-input -m conntrack --ctstate 無效 -j DROP

'# ok INPUT 的 icmp 程式碼

-A ufw-before-input -p icmp --icmp-type 目的地不可達 -j ACCEPT

-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT

-A ufw-before-input -p icmp --icmp-type 參數問題 -j ACCEPT

-A ufw-before-input -p icmp --icmp-type echo-equest -j ACCEPT

'# ok icmp 代碼 FORWARD -A ufw-before-forward -p icmp --icmp-type 目的地不可達 -j ACCEPT

-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT

-A ufw-before-forward -p icmp --icmp 類型參數問題 -j ACCEPT

-A ufw-before-forward -p icmp --icmp-type echo-equest -j ACCEPT

'# 允許 dhcp 客戶端工作

-A ufw-輸入前-p udp --sport 67 --dport 68 -j 接受

'#

'# ufw-非本地

'#

-A ufw-輸入前 -j ufw-非本地

'# 如果是本地,則傳回

-A ufw-非本地 -m addrtype --dst-type LOCAL -j RETURN

'# 如果是多播,則傳回

-A ufw-非本地 -m addrtype --dst-type 多播 -j RETURN

'# 如果廣播,則回傳

-A ufw-not-local -m addrtype --dst-type 廣播 -j RETURN

'# 所有其他非本地資料包都被丟棄

-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny

-A ufw-非本地-j DROP

'# 允許 MULTICAST mDNS 進行服務發現(確保上面的 MULTICAST 行

'# 未註記) -A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

'# 允許 MULTICAST UPnP 進行服務發現(確保上面的 MULTICAST 行

'# 未註釋)

-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j 接受

犯罪


現在,我可以從 Bob 處 ping 調變解調器,但無法正常存取互聯網。 Thougb 網路 DNS 有效。

當我嘗試連接到 WAN 伺服器時,我得到:「目標主機無法存取」。我想我的配置有問題,或缺少某些東西。

也許我應該在調製解調器上配置一些東西,但我現在不這樣做。但是,不,當我進行測試時,我將 Pi 路由器插入交換器上,兩個 iface 都位於同一交換機上,在某一點上我能夠訪問網絡,一切正常。經過這些測試後,我將樹莓派插入到數據機旁的最終位置。現在,從機器 bob 到 WAN,路由經過交換器、兩台 CPL、pi 路由器、數據機。

非常感謝您的見解:-)

/cr!?ptal

答案1

我在 pi-router 上新增了一條新路由並且它有效!

sudo ip 新增路由預設透過數據機路由器 IP/24 開發 eth1。

和:

須藤蘇

ufw 停用 && ufw 啟用

此外,為了使此自訂路由持久存在,我將其新增至 /etc/dhcpcd.exit-hook 。

任務成功了:-)

相關內容