우리는 현재 Linux 컴퓨터(debian)를 WiFi 제어 및 라우터로 사용하여 시스템을 설정하고 있습니다. Linux 컴퓨터는 WiFi(wlan0 및 wlan1)를 통해 두 개의 WiFi 네트워크(A와 B라고 함)에 연결됩니다. 그런 다음 PC는 이더넷을 통해 Linux 상자에 연결되어 두 WiFi 네트워크의 모든 장치에 액세스할 수 있습니다. ASCII 아트 이미지 보기
WiFi A (192.170.1.xx)
/
/
PC (192.168.2.xx) ----- (192.168.2.1) Linux (192.170.1.253)
\
\
WiFi B (192.170.1.xx)
라우팅에 필요한 프로토콜은 다음과 같습니다.
- PC에서 192.170.1.xx 장치에 SSH로 연결
- 포트 1234/4321을 통해 PC에서 192.170.1.xx 장치로의 TCP
- PC에서 192.170.1.xx 장치로 PING
문제는 IPTable을 설정하는 방법과 관련이 있습니다.
- PC의 게이트웨이는 192.168.2.1로 설정되어 있으므로 PC가 192.170.1.xx로 보내는 모든 패킷은 Linux 상자로 라우팅됩니까?
다음은 작동해야 한다고 생각하는 것입니다(아직 테스트하지 않았습니다). 이것이 맞는지, 아니면 내 논리에 근본적으로 잘못된 점이 있는지 지적해 주실 수 있나요?
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o wlan 1-m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
iptables -A FORWARD -i wlan1 -o eth0 -j ACCEPT
답변1
참고: Wi-Fi A와 B는 서로 다른 서브넷에 있어야 합니다. 그렇지 않으면 Linux 시스템에서 오류를 보고합니다.
eth0이 PC용이라고 가정하면 이 규칙을 사용하여 원하는 ssh 및 tcp 포트를 얻을 수 있습니다.
iptables -t filter -A FORWARD -i eth0 -o <Interface> -d <Des subnet> -p tcp --dport <Des Port> -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
핑을 허용하려면 다음을 사용할 수 있습니다.
iptables -t filter -A FORWARD -i eth0 -o <Interface> -d <Des subnet> -p icmp --icmp-type 8 -j ACCEPT
답변2
Wi-Fi A와 Wi-Fi B에 대해 동일한 주소 범위를 사용하는 것 같고 Linux 상자에는 해당 범위에 하나의 주소만 있으므로 두 WLAN 인터페이스를 연결해야 한다고 생각합니다(즉, 단일 네트워크로 처리). 어떤 경우에는 iptables 규칙이 브리지 인터페이스를 참조해야 합니다.
바라보다이 문제브리지된 네트워크에서 필터링 구성에 대한 몇 가지 생각. 또는 각 Wi-Fi 네트워크에 192.170.1.xx의 다른 서브넷을 할당한 경우 Linux 상자에는 사용자가 지정한 단일 192.170.1.253 주소 대신 각 서브넷에 1개의 IP 주소가 필요합니다.