我正在尋求有關在另一個網路範圍內設置專用 LAN 網路的指導,所有這些都在 Linux 上使用開源防火牆和軟體。這是場景:
我有一台桌上型電腦,我想連接到網路。我希望桌面還託管一個本地伺服器,透過乙太網路連接到其他機器,例如樹莓派、筆記型電腦等,形成私有區域網路。
我希望桌面能夠存取網際網路和專用 LAN,同時限制任何其他電腦只能在 LAN 內通訊而無法存取網際網路。此外,我想確保主網路上的其他電腦(可以存取互聯網但不屬於我的私人 LAN)無法查看或存取私人 LAN 或從互聯網對它們進行任何遠端存取。
您能否提供有關在 Linux 上使用開源防火牆和軟體(桌面上的 popOS)實現此設定的指導?此外,如果您能向我提供有關此主題的更多信息,我將不勝感激。
感謝您的幫忙!
答案1
確保電腦有足夠的實體網路介面 - 如果需要,安裝第二個乙太網路連接埠(作為 PCIe 卡)。使用某個 IP 位址設定第二個網路介面(必須是與主網路不同的 IP 子網路),然後將其連接到所有「專用 LAN」設備的乙太網路交換器。
為了方便起見,您可能需要安裝 DHCP 伺服器(dnsmasq、isc-dhcp-server 或類似伺服器)。將其配置為在新介面上發布 IP 位址。
最後,設定防火牆規則以阻止來自或流向新介面的所有網路流量 - iptables 或 nftables“FORWARD”鏈中的一對普通“DROP”規則。 (僅僅在系統範圍內停用 IP 轉送是不夠的,因為 Docker 之類的東西通常會重新啟用它。)