Так как часто сылшу вопросы о том, что кто то хочет поставить у себя
дома маршрутизатор под управлением Linux и с помощью него раздавать
интернет своим домашним компьютерам решил написать небольшую статью как
это сделать.
Хочу рассказать немного о фаерволе iptables и показать несколько правил которые возможно помогут вам в настройке маршрутизатора для вашей домашней сети.
В первую очедерь вам понадобится сдлеать NAT для своей внутреней сети. (NAT (Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.)
#iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE
таким образом ваша внутреня сеть 172,16,1,0/24 будет попадать в интернет через «внешний» айпи адрес вашего маршрутизатора
#ipt -t nat -A PREROUTING -p tcp –dport 3389 -d 194.9.15.1 -j DNAT –to-destination 172.16.1.11
где 194,9,15,1 это ваш внешний ip а 172,16,1,11 это машинка во внутненей сети
Также можно защитить вашу внутренюю сеть от проникновения из вне
допустим так
#iptables -A INPUT -s 172.16.1.0/24 -p tcp -j ACCEPT (разрешим проходить пакетам из внутереней сети)
#iptables -A INPUT -p tcp –dport telnet -j DROP
#iptables -A INPUT -p tcp –dport ssh -j DROP (Отбрасываем все лишние соединения на эти порты)
При желании сюдаже можно добавить и Фтп но обычно его сотавляют открытым если есть фтп сервер котороый должен работать наружу
Вот и всё для простого маршрутизатора сгодится.
Если будут вопросы и пожелания статью буду дополнять.
Хочу рассказать немного о фаерволе iptables и показать несколько правил которые возможно помогут вам в настройке маршрутизатора для вашей домашней сети.
В первую очедерь вам понадобится сдлеать NAT для своей внутреней сети. (NAT (Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.)
#iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE
таким образом ваша внутреня сеть 172,16,1,0/24 будет попадать в интернет через «внешний» айпи адрес вашего маршрутизатора
Затем возможно вам понадобится сделать проброс портов для когонибудь из вагей домашней сети
делается это следующим образом
#ipt -t nat -A PREROUTING -p tcp –dport 16862 -d 194.9.15.1 -j DNAT –to-destination 172.16.1.11#ipt -t nat -A PREROUTING -p tcp –dport 3389 -d 194.9.15.1 -j DNAT –to-destination 172.16.1.11
где 194,9,15,1 это ваш внешний ip а 172,16,1,11 это машинка во внутненей сети
Также можно защитить вашу внутренюю сеть от проникновения из вне
допустим так
#iptables -A INPUT -s 172.16.1.0/24 -p tcp -j ACCEPT (разрешим проходить пакетам из внутереней сети)
#iptables -A INPUT -p tcp –dport telnet -j DROP
#iptables -A INPUT -p tcp –dport ssh -j DROP (Отбрасываем все лишние соединения на эти порты)
При желании сюдаже можно добавить и Фтп но обычно его сотавляют открытым если есть фтп сервер котороый должен работать наружу
Вот и всё для простого маршрутизатора сгодится.
Если будут вопросы и пожелания статью буду дополнять.
Комментариев нет:
Отправить комментарий