Я создаю DYI для своего дома, который будет простым шлюзом безопасности (только для тестирования). Я пытаюсь выяснить, как пересылать или маршрутизировать весь трафик через шлюз безопасности:

  • Он будет подключен и будет сидеть за маршрутизатором.
  • Будет использоваться один NIC
  • Шлюз безопасности будет работать под управлением ClearOS (CentOS)
  • Целью является сканирование всего сетевого трафика / фильтрация контента.

Диаграмма (и шлюз безопасности, и ПК находятся на одной стороне с модемом / маршрутизатором)

Modem/Router--->security gateway
|
|
|
PC

- Я отредактировал /etc/sysctl.conf и вставил: net.ipv4.ip_forward = 1. Затем перезагрузил sysctl -p

  • Пробовал команду iptable для пересылки трафика внутрь и наружу. А также с использованием POSTROUTE

iptables -t nat -A POSTROUTING -o eno16777736 -j MASQUERADE iptables -A FORWARD -i eno16777736 -j ПРИНЯТЬ iptables -A ВПЕРЕД -o eno16777736 -j ПРИНЯТЬ

Я думал, что устройство GW (192.168.40.23) будет перенаправлять весь трафик, если я создаю трафик с моего компьютера и пингую модем / маршрутизатор или даже google.com. PCAP не показывает трафик с моего ip 192.168.40.17 до 192.168.40.23, когда я пингую модем / маршрутизатор 192.168.40.254. Не уверен почему? Что я делаю неправильно?

1 ответ1

1

1.) Я мог бы сделать шлюз безопасности IP-шлюзом по умолчанию, правильно?

Вы могли бы, но вам не нужно. Вы по-прежнему можете использовать маршрутизатор в качестве сервера DHCP для устройств на другой стороне устройства безопасности. DHCP-запросы, поступающие с другой стороны шлюза безопасности, могут быть просто перенаправлены на ваш маршрутизатор без необходимости настройки DHCP-сервера на самом шлюзе безопасности.

Однако мне нужно убедиться, что DHCP-сервер в маршрутизаторе выключен, а DHCP-сервер на устройстве безопасности включен, правильно?

Не обязательно. Это следует делать только в том случае, если вы хотите назначить шлюзу безопасности статический IP-адрес, а также разрешить устройству безопасности обрабатывать DHCP для устройств, которые вы будете использовать в локальной сети, что, как указано выше, не требуется.

2.) Создать статический маршрут /IP-пересылку. Это должно работать правильно?

Да. Разрешите пересылку пакетов на шлюзе безопасности, отредактировав /etc/sysctl.conf .

Раскомментируйте строку (или добавьте ее, если ее нет):

net.ipv4.ip_forward=1

Затем запустите:

sysctl -p /etc/sysctl.conf

Вам также необходимо убедиться, что брандмауэр на вашем шлюзе безопасности разрешает пересылку для соответствующих интерфейсов.

Что касается статических маршрутов, они понадобятся только в том случае, если вы хотите разделить настройки на несколько подсетей. Поскольку вы можете выполнить настройку с помощью одной подсети, вам не нужно добавлять маршруты. Вся информация о маршрутизации, необходимая для устройств в вашей локальной сети, будет получена через их запросы DHCP.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .