使用 Linux 服务器作为网络路由器

Question 1

这是我在与您的情况几乎相同的情况下使用并取得巨大成功的设置。我理解您的情况如下（如果我错了，请纠正我）：

LAN 上的客户端可以完全访问互联网。来自 LAN 客户端的传出连接被伪装成您的 ISP 为您的服务器/路由器提供的公共 IP 地址。
LAN 上的客户端可以通过 LAN 连接接口 (eth1) 完全访问您的服务器。
所有传入的互联网流量（通过 eth0）都被阻止，但以下情况除外：（1）涉及预先存在的连接的流量，（2）绑定到 TCP 端口 22 或 80 的流量，或（3）ICMP ping 请求。
TCP 端口 22 和 80 对互联网开放（通过 eth0）并由您的服务器处理。
您的服务器响应来自互联网的 ICMP ping 请求。
为了方便起见，我假设您的 LAN 网络地址范围是10.10.10.0/24。根据需要修改下面的脚本以使用您的实际地址。

首先，确保已打开 IP 转发。在中/etc/sysctl.conf，您应该看到以下内容：

net.ipv4.ip_forward=1

然后，按照以下脚本创建 netfilter 规则：

#!/bin/sh
IPT=/sbin/iptables

# Flush all chains, to start with a clean slate.
$IPT -F
$IPT -t nat -F

# Set filter Policies. By default, DROP everything.
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# Set server INPUT rules.
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth1 -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT

# Set server OUTPUT rules.
$IPT -A OUTPUT -j ACCEPT

# Set router FORWARD rules.
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Masquerade outgoing LAN traffic.
$IPT -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE

这应该足以作为一个构建框架。

Answer

这是我在与您的情况几乎相同的情况下使用并取得巨大成功的设置。我理解您的情况如下（如果我错了，请纠正我）：

LAN 上的客户端可以完全访问互联网。来自 LAN 客户端的传出连接被伪装成您的 ISP 为您的服务器/路由器提供的公共 IP 地址。
LAN 上的客户端可以通过 LAN 连接接口 (eth1) 完全访问您的服务器。
所有传入的互联网流量（通过 eth0）都被阻止，但以下情况除外：（1）涉及预先存在的连接的流量，（2）绑定到 TCP 端口 22 或 80 的流量，或（3）ICMP ping 请求。
TCP 端口 22 和 80 对互联网开放（通过 eth0）并由您的服务器处理。
您的服务器响应来自互联网的 ICMP ping 请求。
为了方便起见，我假设您的 LAN 网络地址范围是10.10.10.0/24。根据需要修改下面的脚本以使用您的实际地址。

首先，确保已打开 IP 转发。在中/etc/sysctl.conf，您应该看到以下内容：

net.ipv4.ip_forward=1

然后，按照以下脚本创建 netfilter 规则：

#!/bin/sh
IPT=/sbin/iptables

# Flush all chains, to start with a clean slate.
$IPT -F
$IPT -t nat -F

# Set filter Policies. By default, DROP everything.
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# Set server INPUT rules.
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth1 -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT

# Set server OUTPUT rules.
$IPT -A OUTPUT -j ACCEPT

# Set router FORWARD rules.
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Masquerade outgoing LAN traffic.
$IPT -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE

这应该足以作为一个构建框架。

Question 2

您需要一组如下规则：

$ sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward SSH packets destined to port 22
$ sudo iptables -A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 22 -j allowed
# Forward HTTP packets destined to port 80
$ sudo iptables -A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 80 -j allowed
# NATing rules for SSH and HTTP
$ sudo iptables -A PREROUTING -d your_public_ip -p tcp -m tcp --dport 22 -j DNAT --to-destination your_private_ip:22
$ sudo iptables -A PREROUTING -d your_public_ip -p tcp -m tcp --dport 80 -j DNAT --to-destination your_private_ip:80

请注意，这些规则可能不是完整列表。但是，它将帮助您入门。另外，不要忘记启用 IP 转发！

Answer

您需要一组如下规则：

$ sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward SSH packets destined to port 22
$ sudo iptables -A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 22 -j allowed
# Forward HTTP packets destined to port 80
$ sudo iptables -A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 80 -j allowed
# NATing rules for SSH and HTTP
$ sudo iptables -A PREROUTING -d your_public_ip -p tcp -m tcp --dport 22 -j DNAT --to-destination your_private_ip:22
$ sudo iptables -A PREROUTING -d your_public_ip -p tcp -m tcp --dport 80 -j DNAT --to-destination your_private_ip:80

请注意，这些规则可能不是完整列表。但是，它将帮助您入门。另外，不要忘记启用 IP 转发！

使用 Linux 服务器作为网络路由器

答案1

答案2

相关内容