私のルーターは現在、ネットワーク上のすべてのPCとUbuntuデスクトップ(一部のサーバー機能を含む)にNATを提供しています。 Ubuntuシステムを適切なファイアウォールとして使用したいのですが、イーサネットインターフェイスは1つしかありません。だから私はそれを実行するために次のことを考えました。
Ubuntu/firewall router/WAN DHCP
IP 192.168.1.1 192.168.1.10 192.168.1.*
GW 192.168.1.10 WAN IP 192.168.1.1
- 説明したように、Ubuntuシステムとルーターを静的に構成すると、すべてが機能すると期待できますか?
INPUT
合計を処理するために単一の物理インターフェイスを使用しても大丈夫ですかFORWARD
?仮想インターフェイスの作成などの作業を行う必要がありますか?
答え1
2つの別々のネットワークを使用しないのはなぜですか? 1つのカードで、異なるネットワーク(eth0、eth0:1、eth0:2など)の2つのIPを簡単に追加できます。
ifconfig eth0 192.168.1.1/24
ifconfig eth0:0 192.168.10.1/24
これにより、あるネットワークから別のネットワークにトラフィックをルーティングする方法を知っているUbuntuファームウェアを介してインターネットにアクセスすることなく、すべてのコンピュータがネットワーク内にあるようになります。
答え2
質問に記載されている作業を行いました。これを実行できるUbuntuの構成は次のとおりです。
$ sudoedit /etc/network/interfaces
auto eth0
iface eth0 inet static
address 192.168.0.10
netmask 255.255.255.0
gateway 192.168.0.1
(実際、br0
私のファイルはブリッジされたVMから物理LANまでですが、より一般的なものに置き換えましたeth0
。)
$ sudoedit /etc/sysctl.conf
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
デフォルトでは、sysctl.conf
パケット転送設定は設定が正しく機能すると信じています。
traceroute
これまでのところ、設定は実際に機能し、Ubuntuで設定されているファイアウォールルールが実際に予想どおりにトラフィックをフィルタリングしていること192.168.0.10
を確認しました。192.168.0.1