内部ネットワークから外部ネットワークへのルートの追加

内部ネットワークから外部ネットワークへのルートの追加

私はArchを実行するボックスをルーターとファイアウォール(海岸壁を含む)として使用します。最近システムに別のネットワークを追加しようとしましたが、失敗しました。すべてを以前の場所に戻し、すべてがまったく同じであることを確認したら、内部ネットワーク(192.168.1.0/24)から外部にルーティングする際にいくつかの問題があります。現在の状況は次のとおりです。

  • ファイアウォールで外部ネットワークをpingできます。
  • 内部ネットワークでファイアウォールをpingできます。
  • 内部ネットワークから外部ネットワークをpingできません。

enp5s0(内部)とenp6s0(外部)の2つのネットワークインターフェースがあります。私のルートは次のとおりですip route ls(外部IPは.78で終わり、残りは明らかな理由で編集しました)。

default via [redacted].1 dev enp6s0  src [redacted].78  metric 203  mtu 576
[redacted].0/24 dev enp6s0  proto kernel  scope link  src [redacted].78
[redacted].0/24 dev enp6s0  proto kernel  scope link  src [redacted].78  metric 203  mtu 576
192.168.1.0/24 dev enp5s0  proto kernel  scope link  src 192.168.1.1  metric 202  

内部ネットワーク上のコンピュータのルート追跡によると、192.168.1.1に達した後にタイムアウトが発生します。 192.168.1.0/24のトラフィックがenp6s0を介してネットワークにルーティングできるようにするには、別のルートを追加する必要があるようです。私は別のパスを試しましたが、そのうちの何も動作しませんでした。また、私のdhcpcd.confが変更されました。コメント行のコメント処理を削除すると、2 番目のデフォルトパスが生成され、すべての接続が完全に中断されます。以前はこれは問題ではありませんでした。

interface enp5s0
static ip_address=192.168.1.1/24
#static routers=192.168.1.1
static domain_name_servers=192.168.1.1 # I have TOR DNS bound to this ip  

どんな助けでも大変感謝します。

答え1

アーチサーバーでも同様のことをしました。サーバーにはenp4s8「外部」ネットワークとwlp1s0「内部」ネットワークがあります。 enp4s8静的に定義されたIPアドレスは10.0.0.3で、DSLモデムのデフォルトパスは10.0.0.1です。

/usr/bin/ip link set dev wlp1s0 up
/usr/bin/ip addr add 172.16.0.1/24 dev wlp1s0
sleep 10

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -j MASQUERADE
iptables -A FORWARD -o enp4s8 -i wlp1s0 -s 172.16.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

dhcpd -cf /etc/dhcpd.wlp1s0.conf wlp1s0

IPv4 転送がオンになっていないことがあり、iptables時には正しい転送を取得するのが難しい場合があります。

トリックの別の部分はここにあります/etc/dhcpd.wlp1s0.conf。 「内部」ネットワークのシステムに、デフォルトルートとDHCPを使用しているルーターを知らせる必要があります。

option domain-name "fleegle";
option domain-name-servers 172.16.0.1;
option routers 172.16.0.1;
option ntp-servers 10.0.0.3;
default-lease-time 14440;
ddns-update-style none;
deny bootp;
shared-network intranet {
        subnet 172.16.0.0 netmask 255.255.255.0 {
                option subnet-mask 255.255.255.0;
                pool { range 172.16.0.50 172.16.0.200; }
        }
}

関連情報