Publicerat av Rickard Persson

Shorewall brandvägg två LAN och en ISP

Före jul tänkte jag att nu måste jag göra vad jag länge har funderat på, att köpa mig utrustning för att ha trådlös uppkoppling hemma. Gjorde slag i saken och köpte en superbillig router för 99 kr från CDON.

En av de orsaker som gjort att jag inte skaffat mig denna utrustning tidigare, har varit osäkerhet i hur jag vill sätta upp den nya lösningen. Jag har bestämt mig för att köra två separata LAN där det trådlösa nätet inte kommer att ha någon kontakt med mitt normala lokala nät. För tillfället har jag inget som helst behov av att låta mina trådlösa enheter komma i kontakt med mina enheter på det fasta nätet.

Schematisk bild av nätverk med två LAN och en ISP.
En schematisk bild av hur mitt nätverk kan se ut hemma. Två LAN och en anslutning till ISP.

Vilka verktyg har jag då haft till mitt förfogande?

  • Debian
  • Shorewall
  • Tre nätverkskort – ett nytt från tidigare

1 – Installera nätverkskortet

Steg ett är att hitta ett nätverkskort som jag kan installera, och jag hade ett som låg och skräpade i ett hörn. Tänker inte beskriva det något närmare, det finns gott om beskrivningar om hur man gör på nätet.

2 – Konfigurera nätverkskortet

Steg två är att se till att det konfigureras rätt. Det kan hända att de existerande nätverkskorten byter ordning när man sätter in ett nytt. Detta är något som var vanligt i alla fall i äldre distributioner. Jag konfigurerar alltid mina nätverkskort statiskt, och det gör jag i Debian i filen

/etc/network/interfaces

Återigen tänker jag inte bråka om hur man gör det. Kanske jag lägger med en länk här om jag hittar någon som känns bra.

3 – Konfiguration av Shorewall, den svårare delen

Steg tre är att se till att sätta upp Shorewall så att den gör rätt, detta tog mig mer än vecka innan jag kom på vad jag hade gjort för fel. Det kanske inte var så många timmar effektiv tid, för jag hade annat att göra också.För att testa om saker fungerar så brukar jag tillåta Ping, även om det finns många som stänger av detta för att höja säkerheten. Jag resonerar för närvarande så att, om jag blir attackerad och det kan lösas genom att stänga av Ping så gör jag det när det behövs. Det är enklare för mig att använda Ping som test-verktyg, i alla fall om jag konfigurerar rätt.

Nu hade jag ställt in att Ping skulle tillåtas mot det nya nätverket, men på fel sätt. Detta var den primära anledningen till att det tog sådan tid. När jag fixade detta så löste jag resterande funktion på mindre än en timme.

För att masquerading (masq) ska fungera så måste man göra rätt inställningar i/etc/shorewall/masqOm ditt externa nätverkskort heter ”eth0” och det interna nätverkskortet heter ”eth2” och ”eth2” använder 10-nätet så ser raden som man ska lägga till som följer

eth0        10.0.0.0/8

detta är för att nätverkspaketen ska veta till vilket LAN de ska till när de kommer tillbaka till burken och ska transporteras vidare. Självklart finns det en notering för mitt normala lokala nätverk som kopplar mot eth1.

Även /etc/shorewall/interfaces måste ha nya rader, jag kallade mitt nya nät för ”wifi” då den skulle användas för det

wifi        eth2

Självklart behövs det några rader i

/etc/shorewall/rules

Dessa låter jag er fundera över själva. Det är egentligen samma som när man ställer in vad som ska vara öppet mot resten av mina nät.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *