Iptables — это утилита командной строки, используемая для управления встроенным брандмауэром netfilter в операционных системах Linux. 1
Она позволяет администраторам управлять входящими и исходящими пакетами данных, проверяя их на соответствие определённым критериям и применяя к ним действия, указанные в правилах. 23
Некоторые основные таблицы в Iptables:
- Filter. Основная таблица для фильтрации пакетов. В ней обрабатываются правила, определяющие, какие пакеты разрешены, а какие — заблокированы. 2
- NAT (Network Address Translation). Эта таблица отвечает за трансляцию сетевых адресов, что позволяет скрывать внутреннюю сеть от внешнего мира, изменяя адреса и порты в пакетах данных. 2
- Mangle. Таблица для модификации заголовков пакетов, например, для изменения маршрутизации или приоритета трафика. 2
- Raw. Таблица, позволяющая обходить систему отслеживания состояний пакетов. Она используется для исключения определённых пакетов из стандартного контроля. 2
Для управления Iptables используются команды, которые позволяют добавлять, изменять или удалять правила, а также просматривать текущие настройки. 2
mcedit /etc/sysctl.conf
Убрать знак комментария на этой строке:
net.ipv4.ip_forward=1
Настроим iptables на роутере исп.
iptables -t nat -A POSTROUTING –s 172.16.4.0/28 –o eth0 -j MASQUERADE (Правило для доступа в интернет для устройств сети HQ)
iptables -t nat -A POSTROUTING –s 172.16.5.0/28 –o eth0 -j MASQUERADE (Правило для доступа в интернет для устройств сети BR)
iptables -t nat -L (Вывод прописанных правил для nat)
По желанию, можно сохранить эти все правила.
Сейчас покажу как:
iptables-save > /root/rules
export EDITOR=mcedit
crontab -e
@reboot /sbin/iptables-restore < /root/rules
Оставляем пустую строку после введённой строки выше, иначе не будет сохранения! В этом файле всегда нужно оставлять снизу ПУСТУЮ СТРОКУ!
Настроим Iptables на роутере rtr-hq
iptables -t nat -A POSTROUTING -s 192.168.1.0/26 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/28 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/29 -o eth0 -j MASQUERADE
iptables -t nat -L
Настроим Iptables на роутере rtr-br
iptables -t nat -A POSTROUTING -s 192.168.4.0/27 -o eth0 -j MASQUERADE
iptables -t nat -L
По вашему желанию можно настроить VLAN на этих же машинах, это будет вам бонус от меня.
Настроим VLAN на srv-hq и cli-hq
mkdir /etc/net/ifaces/enp0s3.100 (создание каталога под VLAN интерфейс)
mcedit /etc/net/ifaces/enp0s3.100/options
Запишем в него следующее содержимое:
TYPE=vlan
HOST= enp0s3 (основной интерфейс, но у вас может быть иное название)
VID=100 (id VLAN’а)
DISABLED=no
BOOTPROTO=static
mcedit /etc/net/ifaces/enp0s3.100/ipv4address ===> пишем суда ваш ip, мой IP = 192.168.1.2/26
mcedit /etc/net/ifaces/enp0s3.100/ipv4route =====> пишем суда свой ip, мой default via 192.168.1.1
Обязательно после всех настроек интерфейсов ввести:
systemctl restart network (Альт)
systemctl restart networking (Астра)
Таким же способом настроим cli-hq
mkdir /etc/net/ifaces/enp0s3.200 (создание каталога под VLAN интерфейс)
Создадим файл options и откроем его командой:
mcedit /etc/net/ifaces/enp0s3.200/options
Запишем в него следующее содержимое:
TYPE=vlan
VID=200 (id VLAN’а)
HOST= enp0s3 (основной интерфейс)
DISABLED=no
BOOTPROTO=dhcp
Обязательно после всех настроек интерфейсов ввести:
systemctl restart network (Альт)
systemctl restart networking (Астра)
Так же бонус - настройка сетевого тунеля на rtr-hq
mcedit /etc/network/interfaces
Настроим все тоже самое на rtr-br
mcedit /etc/network/interfaces
ping 10.10.10.2