ルーターとしての Debian スクイズ

ルーターとしての Debian スクイズ

私はDebian Squeeze(Dreamplug)をルーターとして設定しようとしています。彫刻を一つに合わせることはできないようです。

ETH0: アップストリーム/インターネット - DHCP クライアント
ETH1: ダウンストリーム/Lan - 192.168.0.1 DHCP サーバー

sudo vim /etc/network/インターフェース

auto lo br0
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto eth1
        iface eth1 inet static
        address 192.168.0.1
        network 192.168.0.0
        netmask 255.255.255.0
        broadcast 192.168.0.255

iface br0 inet dhcp
        bridge_ports eth0 eth1

sudo vim /etc/dhcp/dhcpd.conf

option domain-name "MyPlug.MyServer.com";
option domain-name-servers 8.8.8.8, 192.168.0.1;

default-lease-time 600000000;
max-lease-time 720000000;

subnet 192.168.0.0 netmask 255.255.255.0 {
    range 192.168.0.100 192.168.0.200;
    option routers 192.168.0.1;
    option broadcast-address 192.168.0.255;
}

sudo vim /etc/default/isc-dhcp-server

INTERFACES="eth1"

サービスネットワークの再起動
サービスisc-dhcp-serverの再起動

私のWindows 7コンピュータは、強制リリース/アップデート後にIPを取得しました。パテで一度サーバーに接続できました。

私の設定に間違いなく間違っていますか?それとも何が見つかりますか?

答え1

内部インターフェイスと外部インターフェイスを接続しないでください。あなたの箱はスイッチではなくルーターです。マシンをルーターにするには、インターフェイス間でパケットを転送するように指示する必要があります。私はecho 1>/proc/sys/net/ipv4/ip_forward.IIRCを介してこれを行います(TM)は/ etc / sysctl.confに行を追加してnet.ipv4.ip_forward=1から/etc/init.d/procps restart

procファイルシステムは通常/ procにマウントされ、カーネル情報と設定を読み書きファイルとして表します。 /proc/sys/net/ipv4/ip_forwardに0または1を書き込むと、インターフェイス間でIPパケットを転送するカーネル機能を無効または有効にできます。私たちはカーネルがパケットを転送したいです!

今、あなたのコンピュータはルーターですが、それを偽装する必要があります。これを行うには、次のものが必要です。

iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE(望むよりhttp://tldp.org/HOWTO/IP-Masquerade-HOWTO/もっと知りたいなら)

IPv4を使用する限り、ISPから1つのIPアドレスしか取得できず、すべてのクライアントはインターネット上のシステムと対話するときにこのアドレスを共有します。マスカレーディングは、IPアドレス共有のあらゆる側面を処理します。重要なことは、マスカレードを適用するタイミングをiptablesに知らせる必要があることです。 iptablesが-iと-oをもはや許可しない場合、適切な置換規則は次のとおりです。

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE

サブネット定義192.168.0.0/24(両方!)をサブネットに置き換える必要があるかもしれません。あなたの顧客が住んでいる地域。ルールには、「クライアントサブネットから始まり、クライアントサブネットの外部のホストに送信されるすべてのパケットが偽装されます」と指定されています。

Dreamplugについてはわかりませんが、再起動するたびに実行されるようにこのステートメントを追加できる/etc/firewall*または/etc/iptables*ファイルが必要です。ドキュメントで「ファイアウォールルール」とそのルールを配置する場所を確認してください。

DHCPの設定に比べてリース時間が非常に長いようです。 3〜50%割引を受けてください。また、一部のクライアントでは、このように大きな数字を処理できない場合や処理しない場合があります。また、ネームサーバーの順序を逆に変更する必要があります。クライアントは最初にリストの最初のサーバーに質問します。ルーターがネームサーバーとしても機能している場合は、しばらく前のクエリを覚えている可能性が高くなります。これは、クライアントが同じアドレスを2番目に要求する場合、Googleのネームサーバーに要求するよりも応答がはるかに速いことを意味します。

答え2

足を崩す。この配列は安全ではありません。

代わりに、このarno-iptables-firewallパッケージをインストールすると、セキュアルーターの設定を簡単かつ安全に設定できます。残りは自動的に処理されます。

Debianパッケージの説明では:

Debianの他のリーンiptablesフロントエンドとは異なり、arno-iptables-firewallは安全で制限的なファイアウォールを設定してロードするためにいくつかの質問しか必要としません。これには、NAT と、潜在的に http または ssh などのネットワークサービスを介してインターネットにアクセスするように内部ネットワークを構成する作業が含まれます。

iptablesを直接安全に設定する方法がわからない場合は、このパッケージをインストールしてください。

関連情報