Как настроить брандмауэр для сетевого шлюза Ubuntu

Вопрос или проблема

Чтобы получить больше опыта в сетевых технологиях, я создаю маленькую виртуальную сеть в VirtualBox. ПК 1 – это установка Ubuntu, которая была сконфигурирована для предоставления доступа в интернет ПК 2, который также является ПК на Ubuntu.

У ПК1 есть два сетевых интерфейса. Один используется для подключения к ПК2, а другой – к роутеру, который обеспечивает доступ в интернет. Затем я вручную настроил параметры IP-адреса через /etc/netplan/ для обоих устройств, чтобы ПК1 выступал в качестве шлюза.

Весь исходящий трафик от ПК2 должен проходить через ПК1. Я подтвердил, что это работает должным образом, так как ПК2 может получить доступ к любому общему IP-адресу только когда ПК1 включен.

Я пытался настроить брандмауэр на ПК1 для регулирования этой виртуальной сети с помощью UFW. В тестовых целях я заблокировал все соединения с 8.8.8.8 с помощью следующей команды: “sudo ufw deny from 8.8.8.8”. Теперь ПК1 не может пинговать 8.8.8.8, однако ПК2 всё еще может пинговать 8.8.8.8. Я подтвердил с помощью Wireshark, что эти пинги проходят через ПК1, и их источник указан как 8.8.8.8.

Является ли это случаем, когда я использую UFW не по назначению? Если да, то, пожалуйста, порекомендуйте альтернативы.

Ответ или решение

Настройка брандмауэра для шлюза сети Ubuntu

При создании виртуальной сети с использованием VirtualBox у вас есть возможность настроить брандмауэр для управления трафиком между двумя компьютерами, что позволит повысить безопасность вашей сети. В вашем случае PC1 (с установленной Ubuntu), выполняющий функции шлюза для PC2, требует соответствующей настройки брандмауэра для эффективного управления сетевым трафиком. Давайте шаг за шагом разберем, как правильно настроить брандмауэр с помощью UFW (Uncomplicated Firewall) и рассмотрим, почему ваши предыдущие попытки блокировки трафика не увенчались успехом.

Шаг 1: Убедитесь, что UFW установлен и активирован

Перед тем, как приступать к настройке, убедитесь, что UFW установлен и активирован на PC1. Можно выполнить следующие команды:

sudo apt update
sudo apt install ufw
sudo ufw enable

Шаг 2: Настройка правил для брандмауэра

По умолчанию, UFW запрещает входящие соединения и разрешает исходящие. Для вашей задачи необходимо настроить правила для управления трафиком между PC1 и PC2. Допустим, вы хотите разрешить весь внутренний трафик между PC1 и PC2, но заблокировать доступ к внешним ресурсам, таким как 8.8.8.8.

  1. Разрешить внутренний трафик между PC1 и PC2:

    sudo ufw allow from <IP-адрес-PC2> to any

    Замените <IP-адрес-PC2> на фактический IP-адрес, который вы задали для PC2.

  2. Блокировка внешнего трафика к 8.8.8.8:

    Чтобы блокировать трафик от PC2 к 8.8.8.8, необходимо создать правило на уровне маршрутизации. Попробуйте следующее:

    sudo ufw deny out to 8.8.8.8

    Это правило должно блокировать все исходящие соединения с PC2 к 8.8.8.8.

Шаг 3: Проверка настроек

После выполнения указанных выше шагов, проверьте статус UFW и примененные правила:

sudo ufw status verbose

Убедитесь, что все правила применены корректно.

Шаг 4: Настройка маршрутизации

Если PC2 всё еще может отправлять пакеты к 8.8.8.8, возможно, существует проблема с маршрутизацией. Убедитесь, что трафик из локальной сети проходит через PC1. Для этого проверьте следующие настройки:

  1. IP-адресация:
    Убедитесь, что PC1 имеет правильные IP-адреса для обеих сетевых интерфейсов и работает в режиме маршрутизатора.

  2. Включение маршрутизации:
    Включите IP-маршрутизацию на PC1. Вам нужно отредактировать файл /etc/sysctl.conf и добавить или изменить следующую строку:

    net.ipv4.ip_forward=1

    После изменения примените настройки:

    sudo sysctl -p

Шаг 5: Проверка связности

Используйте ping и traceroute для диагностики сети. Попробуйте выполнить:

ping 8.8.8.8

с PC2, и зафиксируйте результаты. Wireshark может помочь вам увидеть, как пакеты проходят через PC1.

Альтернативы UFW

Если UFW не подходит для ваших нужд, вы можете рассмотреть использование более настроенных инструментов, таких как iptables или nftables. Эти инструменты предоставляют более гибкие и мощные возможности управления сетевым трафиком, хотя и требуют более глубоких знаний сетевых технологий.

Заключение

Настройка брандмауэра на Ubuntu является важной частью управления безопасностью сети. Ваша задача заключается в правильной конфигурации правил, которые обеспечивают надежную защиту и контроль доступа к ресурсам. Если следовать предложенной инструкции, вы сможете обеспечить необходимый уровень безопасности для своей виртуальной сети, удовлетворяя свои потребности в тестировании и обучении.

Оцените материал
Добавить комментарий

Капча загружается...