我正在寻求有关在另一个网络范围内设置专用 LAN 网络的指导,全部在 Linux 上使用开源防火墙和软件。以下是场景:
我有一台台式电脑,我想将其连接到互联网。我希望台式电脑还托管一个本地服务器,该服务器通过以太网连接到其他机器,例如 Raspberry Pi、笔记本电脑等,形成一个私有 LAN。
我希望桌面能够同时访问互联网和私有局域网,同时限制其他机器只能在局域网内通信而不能访问互联网。此外,我希望确保主网络上的其他计算机(它们可以访问互联网但不属于我的私有局域网)无法看到或访问私有局域网或从互联网对它们进行任何远程访问。
您能否提供关于如何使用 Linux 上的开源防火墙和软件(桌面上的 popOS)实现此设置的指导?此外,如果您能为我提供有关此主题的更多信息的任何教程或资源,我将不胜感激。
感谢您的帮助!
答案1
确保计算机物理上有足够的网络接口——如果需要,安装第二个以太网端口(作为 PCIe 卡)。为第二个网络接口配置一些 IP 地址(必须与主网络的 IP 子网不同),然后将其连接到以太网交换机,用于所有“专用 LAN”设备。
您可能希望安装 DHCP 服务器以方便使用(dnsmasq、isc-dhcp-server 或类似服务器)。将其配置为在新接口上发布 IP 地址。
最后,设置防火墙规则以阻止来自或到达新接口的所有网络流量 - iptables 或 nftables“FORWARD”链中的一对普通“DROP”规则。(仅仅在整个系统范围内禁用 IP 转发是不够的,因为 Docker 之类的东西通常会重新启用它。)