как настроить 4-портовый ящик linux для роутера

Question

Пожалуйста, сообщите, где я ошибся:

У меня есть новый 4-портовый мини-компьютер, который я хочу использовать в качестве маршрутизатора (с обычными службами, такими как брандмауэр, NAT, DNS) для моей растущей сети. Основная причина заключается в использовании ipset в iptables и во-вторых, для повышения производительности. У меня есть два цифровых коммутатора, подключенных к eth0 и eth1, а интернет-кабель подключен к eth2.

Я представляю следующие настройки файла конфигурации и результаты. Со своего настольного компьютера я могу подключиться по ssh к новому шлюзу, а оттуда я могу пропинговать WAN-адрес, но не адреса локальной сети. Я временно сделал iptables довольно разрешительным, чтобы убедиться, что это не проблема (или я так думаю). Я предполагаю, что есть проблема с dhcp, основанным на syslog, но я не знаю точно, что или как это исправить.

Большое спасибо, что нашли время, чтобы помочь!

Листинг /etc/dhcp/dhcpd.conf (строки комментариев для краткости удалены):

ddns-update-style none;

option domain-name "ptj.lan";
option domain-name-servers 208.67.222.222, 8.8.8.8; 

default-lease-time 600;
max-lease-time 7200;

authoritative;

log-facility local7;

subnet 192.168.10.0 netmask 255.255.255.0 {
 range 192.168.10.101 192.168.10.254;
 option routers 192.168.10.60;
 option domain-name-servers 208.67.222.222, 208.67.220.220;

 host tractorshed {
    hardware ethernet AC:CC:8E:0F:96:EC;
    fixed-address 192.168.10.22;
 }
 host screenporch {
    hardware ethernet AC:CC:8E:10:61:74;
    fixed-address 192.168.10.23;
 }
 host carport {
    hardware ethernet AC:CC:8E:10:61:6B;
    fixed-address 192.168.10.21;
 }
  host brotherprinter {
    hardware ethernet 00:1B:A9:15:65:70;
    fixed-address 192.168.10.10;
 }
   host nuc {
    hardware ethernet B8:AE:ED:7B:73:30;
    fixed-address 192.168.10.32;
 }
 host ptj-vision {
    hardware ethernet 4C:72:B9:21:0C:E4;
    fixed-address 192.168.10.31;
 }
}

/etc/default/isc-dhcp-server листинг:

DHCPD_CONF=/etc/dhcp/dhcpd.conf

DHCPD_PID=/var/run/dhcpd.pid

INTERFACES="eth0 eth2 eth3"
# I know eth1 is labelled "4" on back of box so I'll use 4 for connection to a digital switch with address 192.168.10.60 so I can reach it 

и /etc /network /interfaces перечисление:

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto eth2
iface eth2 inet dhcp

auto eth3
iface eth3 inet dhcp

# and the static address interface (marked "4" on the box) which I'll use on LAN side for access to this machine:
auto eth1
iface eth1 inet static
    address 192.168.10.60
    netmask 255.255.255.0
    broadcast 192.168.10.255

#stuff to rebuild ipset and iptable on reboot:
pre-up ipset restore < /home/boss/BadIPLists/genblacklist.bak
pre-up ipset restore < /home/boss/BadIPLists/sshblacklist.bak
pre-up iptables-restore < /home/boss/iptables.rules

наконец, пример из системного журнала:

Jan  8 14:59:54 debFirewall dhclient: No DHCPOFFERS received.
Jan  8 14:59:54 debFirewall dhclient: No working leases in persistent database - sleeping.
Jan  8 15:04:43 debFirewall dhclient: DHCPDISCOVER on eth3 to 255.255.255.255 port 67 interval 7
Jan  8 15:04:50 debFirewall dhclient: DHCPDISCOVER on eth3 to 255.255.255.255 port 67 interval 15
Jan  8 15:05:05 debFirewall dhclient: DHCPDISCOVER on eth3 to 255.255.255.255 port 67 interval 16
Jan  8 15:05:21 debFirewall dhclient: DHCPDISCOVER on eth3 to 255.255.255.255 port 67 interval 13
Jan  8 15:05:34 debFirewall dhclient: DHCPDISCOVER on eth3 to 255.255.255.255 port 67 interval 10
Jan  8 15:05:44 debFirewall dhclient: No DHCPOFFERS received.
Jan  8 15:05:44 debFirewall dhclient: No working leases in persistent database - sleeping.
Jan  8 15:06:21 debFirewall kernel: [ 8422.877907] igb 0000:02:00.0 eth1: igb: eth1 NIC Link is Down
Jan  8 15:06:25 debFirewall kernel: [ 8427.224580] igb 0000:04:00.0 eth3: igb: eth3 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TX
Jan  8 15:07:17 debFirewall dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 5
Jan  8 15:07:22 debFirewall dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 13
Jan  8 15:07:35 debFirewall dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
Jan  8 15:07:42 debFirewall dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 11
Jan  8 15:07:53 debFirewall dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
Jan  8 15:08:00 debFirewall dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 18
Jan  8 15:08:10 debFirewall kernel: [ 8532.140374] igb 0000:04:00.0 eth3: igb: eth3 NIC Link is Down
Jan  8 15:08:18 debFirewall dhclient: No DHCPOFFERS received.
Jan  8 15:08:18 debFirewall dhclient: No working leases in persistent database - sleeping.
Jan  8 15:08:19 debFirewall kernel: [ 8540.932948] igb 0000:02:00.0 eth1: igb: eth1 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TX

Answer 1

Хорошо, я узнал, что, очевидно, соединения с двумя сетевыми картами не могут взаимодействовать друг с другом, даже если устройства находятся в одной сети (например, 192.168.10.0). Были некоторые потенциальные решения, но для меня лучше всего было соединить их (eth0, eth1 и eth3), как описано здесь:https://wiki.debian.org/NetworkConfiguration

Также мне пришлось ввести адрес шлюза в /etc/dhcp/dhcpd.conf (дополнительные маршрутизаторы), чтобы клиенты dhcp знали, куда отправлять свои пакеты. Статические адреса, указанные в /etc /network /interfaces, также нуждаются в списке шлюзов.

Теперь все работает отлично, и моя конфигурация iptables/ipset блокирует тысячи векторов атак по IP-адресам.