Vladimir-9313 часов назад

Простая настройка машины под Linux как роутера — NAT+iptables+dnsmasq

Простой

8 мин

7.6K

Linux * DNS *

Туториал

Комментарии 4

hafewix 13 часов назад

~~iptables~~ nftables
маскарадить локальный интерфейс не нужно. И еще пропущено указание таблицы.
iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
~~iptables -A POSTROUTING -o enp0s8 -j MASQUERADE~~
~~iptables -t nat -A POSTROUTING -j MASQUERADE~~
ACCEPT'ы бессмысленны - не указана политика (или запрещающее правило в конце цепочки). По-умолчанию политика и так ACCEPT
~~systemctl disable systemd-resolved --now~~
Если вам mdns не нужен, то это логично, но лучше все же просто выключить прослушивание порта:
# /etc/systemd/resolved.conf:
DNS=127.0.0.1
DNSStubListener=no
И симлинк /etc/resolv.conf -> /run/systemd/resolved/... оставить в покое.

VenbergV 9 часов назад

В iptables явно допущены ошибки.
Лучше сразу работать с nftables. Т.к. в debian он уже давно. А iptables - deprecated.

nitro80 7 часов назад

Хотелось бы, что бы DNS наш сервер получал по DoH либо DoT;
Раз сервер "смотрит" интерфейсом в интернет, то совершенно не рассмотрены методы его защиты. А защищать так или иначе придётся;
Интересно было бы увидеть реализацию, которая позволит пользователям сети за таким шлюзом (если такое возможно) серфить ресурсы например в Yggdrasil, Tor и пр. без установки ПО.

K0Jlya9 3 часа назад

С yggdrasil есть нюансы, анонсировать надо только сеть игдрасиля, что бы клиенты не пытались в весь v6 ходить через этот роутер. И в фаирволе надо запретить транзит из игдрасиля в клиентов иначе им придется самостоятельно следить за своими фаирволами, а они к этому обычно не готовы.

Ну и маршрутизацию для в6 еще разрешить.

radvd.conf


interface enp1s0 {
    AdvSendAdvert on;
    AdvDefaultLifetime 0; # Не шлюз по умолчанию

    prefix 300:xxx::/64 {
        AdvOnLink on;
        AdvAutonomous on;
        AdvRouterAddr on;
    };

    # Маршрут для всей сети Yggdrasil
    route 200::/7 {
        AdvRoutePreference high;
    };
};

Еще интересная особенность - размер такой сети даже не 2^64 а 2^56, ее вполне реально спуфить. Размещать в таких адресах глобальные ресурсы не стоит, лучше добавить нормальный адрес из большого пространства.

Внутри игдрасиля есть тор мосты так что любой из клиентов может просто установить тор браузер, прописать туда эти мосты и дальше у него всё будет работать без заморочек. Использовать тор как то иначе, через обычный браузер и хитровылюбленный нат на роутере, не стоит.

Любой чатгпт проведёт вас по настройкам за ручку от и до лучше чем нейробред с хабры.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий