Ubuntu jako ruter - ustawienia IPTABLES

[damiandamiandamian]

Witam forumowiczów!

Chce skonfigurować Ubuntu jako ruter (nie hejtować proszę), natomiast mam wątpliwości czy mój konfig będzie bezpieczny. Ustawiłem natowanie poprzez :

Kod: Zaznacz cały

sudo iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE 

oraz reguły przepuszczające tylko ruch odpowiedzi na żądania:

Kod: Zaznacz cały

sudo iptables -A FORWARD -i enp0s8 -p ALL -j ACCEPT
sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Na serwerze zainstalowany jest jeszcze dnsmasq do forwardowania zapytań DNS.

W związku z tym, że jestem zielony jeśli chodzi o firewall'a linuxowego chciałbym zapytać czy ten konfig będzie OK, czy będzie bezpiecznie, a jeśli nie to co jeszcze powinienem dodać do zapory, aby to wszystko zabezpieczyć.

Pozdrawiam i dziękuję za odpowiedź.

[rafjak]

Ja dołączę do tematu.
Czy na Ubuntu 20.04 działa jeszcze IPTABLES? Bo przeczytałem na anglojęzycznych forach, że już nie.
Każą się przesiadać na NFTABLES.

Pozdrawiam
RJ

[mario_7]

Co oznacza "bezpieczna konfiguracja"? Wszystko zależy od tego jakie są wyamagania.

[jacekalex]

Jeżeli masz na routerze adresację LAN np 192.168.1.0/24, to ja bym zrobił tak:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING  -s   192.168.1.0/24     ! -d  192.168.1.0/24   -j MASQUERADE 

Kod: Zaznacz cały

iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack  --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24   -j ACCEPT

W ten sposób nie musisz pamiętać, jak wpiąć kable do kart sieciowych,
gniazda ethernet bywają do siebie podobne, łatwo pomylić.


Jeżeli masz inną klasę adresową LAN na routerze z Ubuntu, to sobie dopasuj.


Dnsmasq Ci się raczej aż tak bardzo nie przyda, zarówno Chrome jak i Firefox zaczęły już używać
DNS over HTTPS i nie korzystają z systemowych DNSów.



Pozdro