Hi,
meine Situation: Hab meinen Raspberry Pi als WLAN-Router konfiguriert, er strahlt sein eigenes WLAN "test" aus. Logge ich mich ins WLAN "test" ein, hab ich auch Internetzugang, da ich auf meinem Raspberry NAT konfiguriert habe - der Verkehr von wlan0 ("test" WLAN) über eth0 (an meinen Router angeschlossen) weitergeleitet wird.
Soweit, so gut. Jetzt möchte ich noch die Firewall am Raspberry konfigurieren, meine Clients sollen weiterhin im Internet surfen können. Aber ansonstne möchte ich alles abdrehen. Was ich gemacht habe:
sudo ufw default deny incoming sudo ufw default allow outgoing
Also alle eingehenden Verbindungen verweigern, alle ausgehenden Verbindungen zulassen.
Damit meine Clients weiterhin Internetzugriff haben, habe ich für UFW auch NAT konfiguriert:
/etc/default/ufw ⇒ Parameter DEFAULT_FORWARD_POLICY auf "ACCEPT" ändern /etc/ufw/sysctl.conf ⇒ net.ipv4.ip_forward=1 ⇒ nicht mehr auskommentieren /etc/ufw/before.rules ⇒ folgendes einfügen:
# NAT table rules *nat :POSTROUTING ACCEPT [0:0] # Forward traffic through eth0 - Change to match you out-interface -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE # don't delete the 'COMMIT' line or these nat table rules won't # be processed COMMIT
Nachdem das erledigt war und ich die Firewall aktiviert habe mit (
sudo ufw enable
) hatten meine Clients im WLAN "test" noch immer keinen Internetzugang.
Daher habe ich noch die 80 (http), 443 (https) und 53 (dns) mit
sudo ufw allow 80
und
sudo ufw allow 443
und
sudo ufw allow 53
erlaubt.
Jetzt habe ich Internetzugang. War meine Vorgehensweise korrekt? Oder habe ich etwas falsch gemacht bzw. gäbe es einen einfacheren/sicheren Weg?
Kann ich z.B. auch den Port für ssh (22) erlauben, aber nur für eine bestimmte MAC-Adresse?
LG
Moderiert von sebix:
Thema in einen passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) in jedem Forenbereich. Danke.
