Como configurar o IPTABLES para registrar / monitorar o uso ao usar uma DSL com um IP atribuído dinamicamente

Question

Como configurar o IPTABLES para registrar / monitorar o uso ao usar uma DSL com um IP atribuído dinamicamente

#1 resposta do Doug Smythies (1 votos)

0

Eu estou tentando configurar um sistema para fazer NAT e outras coisas do iptables (como registro, firewall, monitoramento, etc.). O ISP fornece um endereço IP dinâmico e o modem DSL faz NAT.

Eu tenho a seguinte configuração de "pequenas empresas":

192.168.1.1           |-----------|
----------------------|           |
                      |  SWITCH 1 |
192.168.1.2           |           |
----------------------|           |
                      |           |
192.168.1.3           |           |
----------------------|           |
                      |-----------|
                           |
                           | 192.168.1.4
                           |
                     |--------------|
                     | Dual NIC     |
                     | IPTABLES m/c | NAT
                     |--------------|
                           |
                           |
                           |192.168.2.2
                           |
                     |--------------| 192.168.2.1 |----------------|
                     |  SWITCH 2    | ------------|DSL Modem NAT   |
                     |--------------|             |----------------|

Meus objetivos são controlar o que cada nó na rede 192.168.1.x pode fazer, entradas de log, etc. A máquina IPTABLES fará muito mais do que a CLI Iptables pode ... Alguma interface C para o libnetfilter_queue biblioteca é esperada, já que precisamos fazer alguns monitoramentos e logs personalizados.

Eu não tenho um endereço IP público estático. Então, eu preciso depender do NAT embutido na DSL. Efetivamente acabarei com dois NATs em série. Um SNAT através de IPTables com fonte alterado para 192.168.2.2. O segundo é aquele que o modem DSL fará para mudar o IP de origem de 192.168.2.2 para qualquer que seja o IP de Internet público atribuído no momento.

Eu acho que deve haver uma abordagem melhor. O que é isso? Ou eu estou totalmente fora do caminho?

por Sunny 27.04.2015 / 15:05

1 resposta

mouse USB inutilizável no Unity Como remover index.php de cada pasta e subpasta?

score 1 · Accepted Answer

Você não precisa depender do NAT no modem DSL, você ainda pode fazê-lo na caixa do roteador Ubuntu, mesmo com um endereço IP público dinâmico.
Você não gostaria de fazer isso a menos que esteja confiante na segurança do seu conjunto de regras do iptables.
Às vezes, os roteadores / modem DSL não têm a opção de desativar o material do roteador (NAT). Nesse caso, o que você está fazendo é bom.

E sim, com as políticas padrão de ACCEPT e o encaminhamento ativado,

$ cat /proc/sys/net/ipv4/ip_forward
1

é tão simples quanto a regra de POSTROUTING (copiada do seu comentário):

iptables -t nat -A POSTROUTING -o em2 -j SNAT --to 192.168.2.2