it:server:firewall-routovani

Toto je starší verze dokumentu!

Nastavení firewallu a routování

Popis nastavení pro router, kdy se budou z vnitřní sítě routovat packety do internetu.

Editace /etc/sysctl.conf

Povolení forwardování ipv4 a v tuto chvíli vypnut ipv6 

net.ipv4.ip_forward=1
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Reload systemd: 

sysctl -p

UFW

ufw logging on
ufw logging medium
 
ufw allow 53 comment "open DNS port"
ufw allow 67,68/udp comment "open DHCP ports"
ufw allow 5555/tcp comment "open SoftEther"
ufw allow 500/udp comment "SoftEther"
ufw allow 4500/udp comment "SoftEther"
ufw allow 443/tcp comment "open SoftEther over HTTPS"
ufw limit 22/tcp comment "limited connection to ssh. Allows 6 connection per 30 sec"

Pokud na serveru spustím služby jako nextcloudpi, http server nebo monit, je potřeba to ve firewallu povolit. 

ufw allow in on br0 from 192.168.0.1/24 to 192.168.0.1/32 port 80 proto tcp comment "Open port 80 from internal network"
ufw allow in on br0 from 192.168.0.1/24 to 192.168.0.1/32 port 443 proto tcp comment "Open port 443 from internal network"
ufw allow in on br0 from 192.168.0.1/24 to 192.168.0.1/32 port 4443 proto tcp comment "Open port 4443 from internal network"
ufw allow in on br0 from 192.168.0.1/24 to 192.168.0.1/32 port 2812 proto tcp comment "Open MONIT port 2812 from internal network"

Pro povolení sdílení Windows (Samba) je potřeba na firewallu povolit na interní síti následující porty: 

ufw allow in on br0 from 192.168.0.1/24 to 192.168.0.1/32 port 137 proto udp comment "Samba port 137/udp"
ufw allow in on br0 from 192.168.0.1/24 to 192.168.0.1/32 port 138 proto udp comment "Samba port 138/udp"
ufw allow in on br0 from 192.168.0.1/24 to 192.168.0.1/32 port 139 proto tcp comment "Samba port 139/tcp"
ufw allow in on br0 from 192.168.0.1/24 to 192.168.0.1/32 port 445 proto tcp comment "Samba port 445/tcp"

Editace /etc/default/ufw

Zajisti, aby v souboru bylo následující nastavení: 

DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="ACCEPT"
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

Editace /etc/ufw/sysctl.conf

Zajisti, aby v souboru bylo následující nastavení: 

net/ipv4/ip_forward=1

Editace /etc/ufw/before.rules

Na začátek souboru přidat: 

*nat
:POSTROUTING ACCEPT [0:0]
 
# Forward traffic through eth0 - Change to match you out-interface
-A POSTROUTING -s 192.168.0.0/24 -o wan -j MASQUERADE
COMMIT

Spuštění firewallu

Nakonec zapnout firewall a pokud je všechno ok, tak snížit úroveň logování: 

ufw enable
ufw logging medium
  • it/server/firewall-routovani.1668717990.txt.gz
  • Poslední úprava: 2022/11/17 20:46
  • autor: Petr Nosek