Ubuntu 14.04 sebagai Gateway / Router dan Firewall


16

Pengaturan sistem saya saat ini adalah Ubuntu 14.04 Desktop 64 Bit, dan saya menggunakan Internet dari router menggunakan IP publik

eth0 - WAN Public IP 182.x.x.x  
eth1 - LAN private IP 192.168.0.1

Sekarang saya ingin mendistribusikan koneksi ini ke komputer lain menggunakan sistem saya sebagai Gateway, IP sistem saya 192.168.0.1dan komputer lain di jaringan menggunakan IP statis 192.168.0.2dan 192.168.0.255 sebagai staticdan / atau DHCP.

Saya juga ingin mengatur firewall pada sistem saya sehingga saya dapat memonitor dan mengontrol lalu lintas sistem lain di jaringan.

Jawaban:


15
  1. Buka Terminal Ctrl+ Alt+T

  2. Masukkan perintah berikut untuk mengedit interfacesfile:

    sudo vim /etc/network/interfaces
    
  3. Edit file dengan baris berikut: (tambahkan Anda netmaskdan gateway)

    auto lo 
    iface lo inet loopback
    
    auto eth0
    iface eth0 inet static
    address 182.x.x.x 
    netmask  x.x.x.x 
    gateway x.x.x.x
    
    auto eth1
    iface eth1 inet static 
    address 192.168.0.1
    netmask x.x.x.x
    
  4. Sekarang edit /etc/sysctl.confdan batalkan komentar:

    # net.ipv4.ip_forward=1
    

    sehingga terbaca:

    net.ipv4.ip_forward=1
    

    dan simpan dengan memasukkan

    sudo sysctl -p /etc/sysctl.conf

  5. Untuk mengaktifkan IP masquerading, masukkan serangkaian perintah berikut di terminal:

    sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    
    sudo iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    
    sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
    

Pembaruan: Memperbaiki aneh "-–state" menyebabkan perintah gagal dan memperbaiki nat MASQUERADE ke eth0 (antarmuka wan)


melakukan semuanya seperti yang disarankan ... tetapi jika saya mengedit / etc / network / interfaces dan restart service terhubung secara otomatis ke eth1 dan tidak akan ke Internet melalui eth0. Jika saya mengedit connectio menggunakan mode GUI itu terhubung ke internet menggunakan eth0. Sekarang masalahnya adalah bahwa saya tidak dapat menghubungkan komputer klien saya menggunakan IP 192.168.0.5/nm.255.255.255.0/gw.192.168.0.1 ke internet. ada saran?
Santi Varghese

3
Saya ingin menambahkan bahwa setelah Anda mengubah baris net.ipv4.ip forward=1, Anda ingin menjalankan sudo sysctl -p /etc/sysctl.confuntuk membuat nilai baru berlaku.
Samuel Li

2
Anda masih memiliki perangkat yang ditukar dalam dua baris terakhir di langkah 5, dan Anda tidak memiliki menyebutkan keamanan default (yaitu, maju harus memiliki kebijakan DROP).
chreekat

3

Komentar @ chreekat benar bahwa adaptor Ethernet ditukar pada langkah 5 dari jawaban @ Anbu, dan seperti yang ditunjukkan (pada 2017-02-21) menciptakan LUBANG KEAMANAN BESAR yang memungkinkan akses tidak terbatas ke jaringan pribadi oleh siapa pun di jaringan publik .

Konfigurasi yang diperbaiki untuk langkah 5 ditunjukkan di bawah ini.

Teori operasi: (Aturan # 2) Paket yang masuk dari jaringan publik (eth0) diterima untuk meneruskan ke jaringan pribadi (eth1) jika dan hanya jika paket publik yang masuk terkait dengan percakapan yang dibuat oleh suatu host pada jaringan pribadi. (Peraturan # 3) Menerima semua paket yang masuk dari jaringan pribadi (eth1) dan meneruskannya ke jaringan publik (eth0).

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

0

Inilah yang saya gunakan, selalu berfungsi dengan baik. Kombinasi berbagai tutorial. Diuji pada Ubuntu 16.04LTS juga.

Langkah A - Pastikan ufw diinstal

sudo apt-get install ufw

Langkah B - Konfigurasikan antarmuka jaringan Anda .

sudo nano /etc/network/interfaces

Konfigurasikan file antarmuka menjadi seperti ini di bawah ini:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The WAN primary network interface
iface eth0 inet static
        address 182.xxx.xxx.xxx
        netmask xxx.xxx.xxx.xxx
        gateway xxx.xxx.xxx.xxx

#LAN side interface
auto eth1
iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        address 192.168.0.1

Simpan file dengan memilih CTRL-X dari nano atau editor lain yang Anda inginkan.

Langkah C - Izinkan IP Forward . Atur penerusan. Edit file /etc/sysctl.conf

sudo nano /etc/sysctl.conf

Hapus komentar di baris # net.ipv4.ip_forward=1ini agar net.ipv4.ip_forward=1 Simpan perubahan dan pindah ke langkah berikutnya.

Langkah D - Menyamar / meneruskan aturan

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Perubahan iptables yang bertahan

sudo su
sudo iptables-save > /etc/iptables.rules
sudo nano /etc/network/if-pre-up.d/iptables

Masukkan konten ini:

#!/bin/sh
iptables-restore < /etc/iptables.rules
exit 0

Simpan perubahan Kemudian edit / buat file iptables berikutnya

sudo nano /etc/network/if-post-down.d/iptables

Masukkan konten ini:

#!/bin/sh
iptables-save -c > /etc/iptables.rules
if [ -f /etc/iptables.rules ]; then
    iptables-restore < /etc/iptables.rules
fi
exit 0

Simpan perubahan. Jadikan kedua file ini dapat dieksekusi

sudo chmod +x /etc/network/if-post-down.d/iptables
sudo chmod +x /etc/network/if-pre-up.d/iptables

Langkah E - Finalisasi dengan konfigurasi ufw

sudo nano /etc/default/ufw

Ubah kebijakan penerusan parameter untuk menerima

DEFAULT_FORWARD_POLICY="ACCEPT"

Simpan perubahan.

Saya memiliki SSH saya di port 49870, jadi saya juga mengizinkan ufw untuk menerima koneksi di port itu:

sudo ufw allow 49870

Langkah F - Jangan lupa untuk mengaktifkan ufw .

sudo ufw enable

Pada tahap ini, cukup reboot sistem Anda. Kemudian semua perangkat LAN dapat menggunakannya sebagai gateway utama. Di samping catatan, ufw sangat nyaman untuk mengelola pengaturan firewall.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.