同じインターフェイスでの着信および発信ルーティング

同じインターフェイスでの着信および発信ルーティング

私のルーターは現在、ネットワーク上のすべてのPCとUbuntuデスクトップ(一部のサーバー機能を含む)にNATを提供しています。 Ubuntuシステムを適切なファイアウォールとして使用したいのですが、イーサネットインターフェイスは1つしかありません。だから私はそれを実行するために次のことを考えました。

      Ubuntu/firewall     router/WAN          DHCP
IP    192.168.1.1         192.168.1.10        192.168.1.*
GW    192.168.1.10        WAN IP              192.168.1.1
  • 説明したように、Ubuntuシステムとルーターを静的に構成すると、すべてが機能すると期待できますか?
  • INPUT合計を処理するために単一の物理インターフェイスを使用しても大丈夫ですかFORWARD?仮想インターフェイスの作成などの作業を行う必要がありますか?

答え1

2つの別々のネットワークを使用しないのはなぜですか? 1つのカードで、異なるネットワーク(eth0、eth0:1、eth0:2など)の2つのIPを簡単に追加できます。

ifconfig eth0 192.168.1.1/24
ifconfig eth0:0 192.168.10.1/24

これにより、あるネットワークから別のネットワークにトラフィックをルーティングする方法を知っているUbuntuファームウェアを介してインターネットにアクセスすることなく、すべてのコンピュータがネットワーク内にあるようになります。

答え2

質問に記載されている作業を行いました。これを実行できるUbuntuの構成は次のとおりです。

$ sudoedit /etc/network/interfaces

auto eth0
iface eth0 inet static
        address 192.168.0.10
        netmask 255.255.255.0
        gateway 192.168.0.1

(実際、br0私のファイルはブリッジされたVMから物理LANまでですが、より一般的なものに置き換えましたeth0。)

$ sudoedit /etc/sysctl.conf

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

デフォルトでは、sysctl.confパケット転送設定は設定が正しく機能すると信じています。

tracerouteこれまでのところ、設定は実際に機能し、Ubuntuで設定されているファイアウォールルールが実際に予想どおりにトラフィックをフィルタリングしていること192.168.0.10を確認しました。192.168.0.1

関連情報