Как настроить IPTABLES для регистрации / мониторинга использования при использовании DSL с динамически назначаемым IP

Question

Как настроить IPTABLES для регистрации / мониторинга использования при использовании DSL с динамически назначаемым IP

Я пытаюсь настроить систему для работы с NAT и другими iptables (например, ведение журнала, брандмауэр, мониторинг и т. Д.). Интернет-провайдер предоставляет динамический IP-адрес, а модем DSL - NAT.

У меня есть следующая конфигурация для малого бизнеса:

192.168.1.1           |-----------|
----------------------|           |
                      |  SWITCH 1 |
192.168.1.2           |           |
----------------------|           |
                      |           |
192.168.1.3           |           |
----------------------|           |
                      |-----------|
                           |
                           | 192.168.1.4
                           |
                     |--------------|
                     | Dual NIC     |
                     | IPTABLES m/c | NAT
                     |--------------|
                           |
                           |
                           |192.168.2.2
                           |
                     |--------------| 192.168.2.1 |----------------|
                     |  SWITCH 2    | ------------|DSL Modem NAT   |
                     |--------------|             |----------------|

Мои цели состоят в том, чтобы контролировать то, что может делать каждый узел в локальной сети 192.168.1.x, регистрировать записи и т. Д. Машина IPTABLES будет делать намного больше, чем может сделать CLI Iptables... Ожидается некоторый интерфейс C с библиотекой libnetfilter_queue как нам нужно сделать некоторые пользовательские мониторинг и ведение журнала.

У меня нет статического публичного IP-адреса. Итак, мне нужно зависеть от NAT, встроенного в DSL. В итоге я получу два последовательных NAT. Один SNAT через IPTables с источником изменен на 192.168.2.2. Второй - тот, который модем DSL будет делать, чтобы изменить исходный IP-адрес с 192.168.2.2 на любой публичный IP-адрес, назначенный в то время.

Я думаю, что должен быть лучший подход. Что это? Или я полностью отвлекаюсь?

0

iptables nat

Источник

Sunny 27 апр '15 в 13:05

1 ответ

Решение

Другие вопросы по тегам iptables nat

Doug Smythies 27 апр '15 в 15:25 2015-04-27 15:25 · Accepted Answer · 2015-04-27 15:25

Вам не нужно зависеть от NAT в модеме DSL, вы все равно можете сделать это на маршрутизаторе Ubuntu, даже с динамическим публичным IP-адресом.
Вы не захотите этого делать, если не уверены в безопасности своего набора правил iptables.
Иногда модемы / маршрутизаторы DSL не имеют возможности отключить маршрутизатор (NAT), и в этом случае то, что вы делаете, хорошо.

И да, с политиками по умолчанию ACCEPT и включенной пересылкой,

$ cat /proc/sys/net/ipv4/ip_forward
1

это так же просто, как одно правило POSTROUTING (скопировано из вашего комментария):

iptables -t nat -A POSTROUTING -o em2 -j SNAT --to 192.168.2.2