Linux 路由器的防火墙和 Vlan

Question 1

此答案将假设您使用ifupdown和/etc/network/interfaces，幸运的是，设置 VLAN 接口相当容易。以链接博客文章中的接口为起点：

#primary interface, to internet
auto enp1s0
iface enp1s0 inet dhcp

#3x secondary interfaces and wifi. On bridge 

auto br0
iface br0 inet static
address 192.168.2.1
netmask 24
bridge_ports enp2s0 enp3s0 enp4s0 wlp5s0

我们最终得到的是这样的：

# raw primary interface to allow auto to work on vlans
auto enp1s0
iface enp1s0 inet manual

# primary interface, to internet
auto enp1s0.10
iface enp1s0.10 inet dhcp

# iptv bridge
auto br1
iface br1 inet manual
    bridge_ports enp1s0.20 enp4s0
    bridge_maxwait 0

# 2x secondary interfaces and wifi. On bridge 
auto br0
iface br0 inet static
    address 192.168.2.1
    netmask 24
    bridge_ports enp2s0 enp3s0 wlp5s0

您可能需要安装vlan程序包。

内核模块8021q也需要启用，但我相信它在现代系统上是默认的。

这样你就有了enp1s0.10作为“互联网”接口、br0作为“其他一切”桥接器和br1作为 IPTV 桥接器。现在，你可以像以前一样enp1s0.10在它们之间路由/NAT/进行任何操作。br0

这是如何运作的？让我们先从如何在 /etc/network/interfaces 中定义 vlan 接口。有两种方法：

您可以将接口命名为vlan#，其中#是 VLAN ID。然后您需要指定vlan-raw-device。VLAN ID 是从接口名称推断出来的。
或者，您可以将接口命名为ethA.#，其中ethA是原始接口，#是 VLAN ID。原始设备和 VLAN ID 是从接口名称推断出来的。

为了简洁起见，我使用后一种方法。

让我们将其分成几个部分。

首先，原始接口被标记为auto无配置。这样做是因为 Linux 会检测原始接口上的热插拔，当它被启用时，其上的 VLAN 也会被启用。但是，没有定义原始接口的 VLAN 显然不会支持热插拔。

对“internet”接口进行轻微更改，使其在 enp1s0 上使用 VLAN 10 标记帧，而不是未标记帧。这相当简单。您需要更新之前使用的任何其他网络配置enp1s0，并改用enp1s0.10。

enp1s0.20接下来，在 VLAN 20 标记和未标记之间定义一个桥接器enp4s0。manual意味着没有完成任何 IP 配置；我们只需要一个第 2 层桥接器（匿名桥接器）。

最后，您的原始内容br0大部分保持原样，只是被enp4s0删除了，因为它现在是 IPTV 端口。

Answer

此答案将假设您使用ifupdown和/etc/network/interfaces，幸运的是，设置 VLAN 接口相当容易。以链接博客文章中的接口为起点：

#primary interface, to internet
auto enp1s0
iface enp1s0 inet dhcp

#3x secondary interfaces and wifi. On bridge 

auto br0
iface br0 inet static
address 192.168.2.1
netmask 24
bridge_ports enp2s0 enp3s0 enp4s0 wlp5s0

我们最终得到的是这样的：

# raw primary interface to allow auto to work on vlans
auto enp1s0
iface enp1s0 inet manual

# primary interface, to internet
auto enp1s0.10
iface enp1s0.10 inet dhcp

# iptv bridge
auto br1
iface br1 inet manual
    bridge_ports enp1s0.20 enp4s0
    bridge_maxwait 0

# 2x secondary interfaces and wifi. On bridge 
auto br0
iface br0 inet static
    address 192.168.2.1
    netmask 24
    bridge_ports enp2s0 enp3s0 wlp5s0

您可能需要安装vlan程序包。

内核模块8021q也需要启用，但我相信它在现代系统上是默认的。

这样你就有了enp1s0.10作为“互联网”接口、br0作为“其他一切”桥接器和br1作为 IPTV 桥接器。现在，你可以像以前一样enp1s0.10在它们之间路由/NAT/进行任何操作。br0

这是如何运作的？让我们先从如何在 /etc/network/interfaces 中定义 vlan 接口。有两种方法：

您可以将接口命名为vlan#，其中#是 VLAN ID。然后您需要指定vlan-raw-device。VLAN ID 是从接口名称推断出来的。
或者，您可以将接口命名为ethA.#，其中ethA是原始接口，#是 VLAN ID。原始设备和 VLAN ID 是从接口名称推断出来的。

为了简洁起见，我使用后一种方法。

让我们将其分成几个部分。

首先，原始接口被标记为auto无配置。这样做是因为 Linux 会检测原始接口上的热插拔，当它被启用时，其上的 VLAN 也会被启用。但是，没有定义原始接口的 VLAN 显然不会支持热插拔。

对“internet”接口进行轻微更改，使其在 enp1s0 上使用 VLAN 10 标记帧，而不是未标记帧。这相当简单。您需要更新之前使用的任何其他网络配置enp1s0，并改用enp1s0.10。

enp1s0.20接下来，在 VLAN 20 标记和未标记之间定义一个桥接器enp4s0。manual意味着没有完成任何 IP 配置；我们只需要一个第 2 层桥接器（匿名桥接器）。

最后，您的原始内容br0大部分保持原样，只是被enp4s0删除了，因为它现在是 IPTV 端口。

Question 2

你的路由器是PC吗？

来自您的 ISP 的传入流量是否带有 Vlan 标记？

我假设这台电脑至少有 2 个 NIC，一个用于 WAN/ISP，另一个用于本地网络。

听起来你有超过 2 个 NIC，一个是 WAN/ISP，其他的则是桥接的并且基本上充当交换机。

我对 Linux 和 VLAN 没有太多经验，但是......

因此，您真正想要做的是拥有 2 个 WAN 接口，一个用于 vlan10，一个用于 vlan20。然后使用iptables或其他方式将流量移动到您想要的位置。

您可以制定一些iptables规则，基本上将所有来自您的流量发送ethwan.vlan20到您的一个 LAN NIC。然后将其ethwan.vlan10视为您之前的 WAN NIC。

如果您的 WAN NIC 具有硬件 VLAN 支持，并且 Linux 支持它，这vconfig可能会对您有所帮助（这里有更多信息）-它将为 VLAN 创建接口，这些接口可以像普通硬件接口一样处理。

如果您的 WAN NIC 没有硬件 VLAN 支持 - 一个问题是 VLAN 是第 2 层的东西，而 iptables 在第 3 层工作。看起来通过 VLAN 分离流量会涉及ebtables或如上所述的诡计这里。

概念概述：

Answer