我正在为我的家创建一个 DYI,这将是一个简单的安全网关(仅用于测试)。我正在尝试弄清楚如何通过安全网关转发或路由所有流量:
- 它将有线连接并位于路由器后面。
- 将使用一个 NIC
- 安全网关将运行 ClearOS (CentOS)
- 目的是扫描所有网络流量/内容过滤。
示意图(安全网关和 PC 均与调制解调器/路由器位于同一侧)
Modem/Router--->security gateway
|
|
|
PC
- 我已经编辑了 /etc/sysctl.conf 并插入:net.ipv4.ip_forward = 1。然后重新加载 sysctl -p
- 尝试使用 iptable 命令转发进出流量。以及使用 POSTROUTE
iptables -t nat -A POSTROUTING -o eno16777736 -j MASQUERADE iptables -A FORWARD -i eno16777736 -j ACCEPT iptables -A FORWARD -o eno16777736 -j ACCEPT
我曾以为,如果我从计算机创建流量并 ping 调制解调器/路由器甚至 google.com,GW 设备 (192.168.40.23) 会转发所有流量。当我 ping 调制解调器/路由器 192.168.40.254 时,PCAP 没有显示从我的 IP 192.168.40.17 到 192.168.40.23 的任何流量。不知道为什么?我做错了什么?
答案1
1.) 我可以将安全网关设为默认 IP 网关,对吗?
您可以这样做,但不必这样做。您仍然可以将路由器用作安全设备另一侧设备的 DHCP 服务器。来自安全网关另一侧的 DHCP 请求可以简单地转发到您的路由器,而无需在安全网关本身上设置 DHCP 服务器。
但是我需要确保路由器中的 DHCP 服务器已关闭并且安全设备上的 DHCP 服务器已打开,对吗?
不一定。您只应该在想要为安全网关提供静态 IP 并让安全设备处理您在 LAN 上使用的设备的 DHCP 的情况下执行此操作,正如上面提到的,这不是必需的。
2.) 创建静态路由/IP 转发。这应该可以正常工作吧?
是的。通过编辑来允许在安全网关上转发数据包/etc/sysctl.conf。
取消注释该行(如果不存在则添加):
net.ipv4.ip_forward=1
然后运行:
sysctl -p /etc/sysctl.conf
您还需要确保安全网关上的防火墙允许转发适当的接口。
至于静态路由,只有当您想要将设置拆分为多个子网时才需要这些路由。由于您可以使用单个子网实现设置,因此您无需添加路由。LAN 上的设备所需的所有路由信息都将通过其 DHCP 请求获取。