主页 / server / 问题 / 1038815
Accepted
James Hopwood
Asked: 2020-10-16 03:59:17 +0800 CST

允许网关路由器(iptables)上的局域网接口上的所有 INPUT 和 OUTPUT 数据包安全

  • 772

我的主网关路由器(也是我的 LAN 的 DHCP 和 DNS 服务器)让我可以通过 ssh 登录并配置 iptables。几乎每天我都在让它提供更多服务,如 NTP、DNS、FTP 等,我想允许我的 LAN 接口/子网上的所有流量和端口进出我的路由器,以确保这些服务可以被任何设备访问我的局域网。

基本上禁用了我的 LAN 端防火墙。

但是,由于这也是我的网关路由器,我不想以允许互联网流量利用我的 iptables 配置的方式配置这些 iptables。

我的私有 IP 范围是 192.168.50.0/24,并自动分配了一个 br0 接口。

这是我用来允许所有 LAN 流量的 iptables 命令。

iptables --append INPUT --in-interface br0 --jump ACCEPT
iptables --append INPUT --source 192.168.50.0/24 --jump ACCEPT
iptables --append OUTPUT --out-interface br0 --jump ACCEPT
iptables --append OUTPUT --source 192.168.50.0/24 --jump ACCEPT

我不是路由或 iptables 方面的专家,但是当我将其解释为“接受 192.168.50.0/24 中的所有输出”时,这让我认为来自互联网的流量通过我的网关路由后,所有这些都被接受到我的局域网。

firewall router iptables

1 个回答

  1. Best Answer

    下面简单介绍一下iptables防火墙:

    INPUT will allow or deny traffic destined to the gateway/firewall host
OUTPUT will allow or deny traffic leaving the gateway/firewall host
FORWARD will allow or deny traffic going through the gateway/firewall host

    在您的情况下,您需要FORWARD 192.168.50.0/24启用伪装,允许返回相关流量,最后丢弃所有内容。假设br0接口直接连接到本地网络 (LAN) 而br1面向互联网 (WAN)

    在 Linux 网关/防火墙上启用路由

    $ sudo echo "1" > /proc/sys/net/ipv4/ip_forward

    仅将 LAN 子网转发192.168.50.0/24到 Internet

    $ sudo iptables -A FORWARD -i br0 -o br1 -s 192.168.50.0/24 -j ACCEPT

    启用伪装 (NAT)

    $ sudo iptables -t nat -A POSTROUTING -o br1 -j MASQUERADE

    允许从 WAN 到 LAN 的返回流量

    $ sudo iptables -A FORWARD -i br1 -o br0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    • 0

相关问题