1. Настраиваем сетевые интерфейсы:
auto lo
iface lo inet loopback
# The primary network interface
auto p5p1
iface p5p1 inet dhcp
auto p4p1
iface p4p1 inet static
address 10.10.10.1
netmask 255.255.255.0
auto p5p1
iface p5p1 inet static
address 20.20.20.1
netmask 255.255.255.0
-------------------------
где:
p5p1 - мир
p4p1 - внутренняя сеть
p5p2 - внутренняя сеть
2. Настройка SSH-сервера
Установка:
PermitRootLogin no # запрет входа под root
PermitEmptyPasswords no # запрет входа под учётной записью без пароля
AllowUsers goreckii_ai # разрешённые учётные записи
Перезапуск службы:
запрет входящего трафика по всем портам:
ufw default deny
разрешаем ssh (для всех ip-адресов):
ufw allow 32123/tcp
или разрешаем ssh только для локальной сети:
ufw allow proto tcp from 10.10.10.0/24 to 10.10.10.1 port 32123
4. Настройка маршрутизации
Включаем форвардинг пакетов и отключаем IPv6 в UFW (редактируем файл ufw):
редактируем файл before.rules:
# Табица NAT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#Очистка
-F PREROUTING
-F POSTROUTING
# включаем трансляцию из сети 10.10.10.0 через интерфейс подключенный к интернету (p5p1)
-A POSTROUTING -s 10.10.10.0/24 -o p5p1 -j MASQUERADE
# включаем трансляцию из сети 20.20.20.0 через интерфейс подключенный к интернету (p5p1)
-A POSTROUTING -s 20.20.20.0/24 -o p5p1 -j MASQUERADE
# don't delete the 'COMMIT' line or these nat table rules won't be processed
COMMIT
Перезагружаем Firewall:
nano /etc/network/interfaces-------------------------
auto lo
iface lo inet loopback
# The primary network interface
auto p5p1
iface p5p1 inet dhcp
auto p4p1
iface p4p1 inet static
address 10.10.10.1
netmask 255.255.255.0
auto p5p1
iface p5p1 inet static
address 20.20.20.1
netmask 255.255.255.0
-------------------------
где:
p5p1 - мир
p4p1 - внутренняя сеть
p5p2 - внутренняя сеть
2. Настройка SSH-сервера
Установка:
apt-get install openssh-serverНастройка (редактируем файл sshd_config):
nano /etc/ssh/sshd_configPort 32123 # порт доступа
PermitRootLogin no # запрет входа под root
PermitEmptyPasswords no # запрет входа под учётной записью без пароля
AllowUsers goreckii_ai # разрешённые учётные записи
Перезапуск службы:
sudo /etc/init.d/ssh restart3. Настройка Firewall (ufw)
запрет входящего трафика по всем портам:
ufw default deny
разрешаем ssh (для всех ip-адресов):
ufw allow 32123/tcp
или разрешаем ssh только для локальной сети:
ufw allow proto tcp from 10.10.10.0/24 to 10.10.10.1 port 32123
4. Настройка маршрутизации
Включаем форвардинг пакетов и отключаем IPv6 в UFW (редактируем файл ufw):
IPV6=noредактируем файл sysctl.conf:
DEFAULT_FORWARD_POLICY="ACCEPT"
net.ipv4.ip_forward=1выполняем команду:
sysctl -p4. Настройка NAT
редактируем файл before.rules:
# Табица NAT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#Очистка
-F PREROUTING
-F POSTROUTING
# включаем трансляцию из сети 10.10.10.0 через интерфейс подключенный к интернету (p5p1)
-A POSTROUTING -s 10.10.10.0/24 -o p5p1 -j MASQUERADE
# включаем трансляцию из сети 20.20.20.0 через интерфейс подключенный к интернету (p5p1)
-A POSTROUTING -s 20.20.20.0/24 -o p5p1 -j MASQUERADE
# don't delete the 'COMMIT' line or these nat table rules won't be processed
COMMIT
Перезагружаем Firewall:
ufw disable && ufw enableДобавляем правила для внутренних сетей:
ufw allow from 10.10.10.0/24
ufw allow from 20.20.20.0/24Базовый интернет-шлюз готов.
Комментариев нет:
Отправить комментарий