我在 Ubuntu 18.04 Server 中配置內部和外部網路時遇到問題。情況是我有一個網關設備,它有 DHCP 服務來為 wlan 連接的設備租用 IP 位址。網關設備 eth0 IP 位址為 192.168.1.120,網關設備 wlan0 具有靜態 10.10.0.1 IP 位址,第一個 wlan 用戶端取得 10.10.0.2 IP 位址。網關設備 eth0 可以存取網際網路。但 wlan0 連接的設備應該只能存取網關設備服務,例如 MySql 或自訂 REST API。
規則 1:網關設備應能存取網際網路。
[eth0]<-->[網際網路]
規則 2:WLAN 連線設備只能存取網關設備服務。
[WlanClient]<-->[wlan0]<-->[eth0]--||NoAccess||--[網際網路]
我所做的是,我已經安裝了 Ubuntu 18.04 Server 並安裝了基本服務,現在我應該建立網路限制。
我已完成以下設置,以使 wlan0 連接的設備能夠使用網關設備服務。而且 wlan0 連接的設備現在也可以存取互聯網,這應該受到限制。
/etc/sysctl.conf
net.ipv4.ip_forward=1
iptables配置
iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
iptables-restore < /etc/iptables/rules.v4
有人可以幫我配置嗎?
答案1
要解決您的問題,您必須使用桌子FORWARD的鏈條filter。這些FORWARD表用於過濾進出主機的每個資料包。 (相反,該INPUT表用於傳入流量,OUTPUT表用於傳出流量)。實際上有兩種方法:
1/ 您限制所有流量並根據需要打開:
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD [your rule #1 to match allowed streams(s)] -j ACCEPT
2/ 您僅限制您想要限制存取的設備的流量:
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -A FORWARD [your rule #1 to match forbidden stream(s)] -j REJECT --reject-with admin-prohib
通常,安全方面的良好實踐是第一種方法。