我有一台额外的台式电脑,配有 2 个 NIC,我想将其用作家庭防火墙。我将在台式电脑上安装一个 Linux 发行版,用作防火墙。
我正在考虑将它放在有线调制解调器和无线之间:
调制解调器<-> 桌面网卡 1<->(防火墙软件)<-> 桌面网卡 2<-> 无线路由器<-> 笔记本电脑、ipad 等。
我认为它必须在这里才能过滤整个网络的流量,对吗?我发现一个缺点,即防火墙不知道将流量与哪台机器关联,因为它在路由器网络之外。
这是正确的吗?如果不正确,您建议怎么做?
答案1
对于防火墙上的出站流量,防火墙会通过 NAT 跟踪哪台机器请求连接,因此当应答/响应流量返回时,防火墙知道将其发送到何处。要使内部机器上的服务可供外部流量使用,您必须打开防火墙上的端口。
听起来你可能在防火墙前面也有一个路由器,对吗?如果你的内部机器和公共网络/互联网之间已经有路由器,那么防火墙可能就没有必要了。
答案2
从您描述的方式来看,它似乎是正确的……但我建议您调整您的“无线路由器”,看看它是否有某种“AP”或“接入点”模式,而不是尝试 NAT/路由流量。您通常会看到无线连接的性能提升……因为大多数 wifi 路由器设备的 CPU 非常有限……而路由/防火墙/NATing 会消耗它们仅有的一点 CPU。有时最简单的方法是简单地禁用其中的 DHCP 服务器……在您的 LAN 内设置一个静态 LAN 地址……并将其中一个 LAN 端口插入您的 LAN(不要插入 WAN)。
就防火墙而言...它应该非常清楚如何正确地将流量从 WAN NAT 到 LAN...否则它就不是一个很好的软件防火墙。