Ubuntu18.04服务器内部和外部网络配置

Question

我在Ubuntu18.04服务器上有问题来配置内部和外部网络。情况是，我有网关设备，它有DHCP服务，为wlan连接的设备租用IP地址。网关设备eth0 IP地址为192.168.1.120，网关设备wlan0具有静态10.10.0.1 IP地址，第一个无线局域网客户端获得10.10.0.2 IP地址。网关设备eth0具有互联网接入功能。但是，wlan0连接的设备只能访问网关设备服务，例如MySql或自定义REST。

规则1:网关设备应该能够访问互联网。

<->

规则2: Wlan连接的设备只能访问网关设备服务。

<-><->

我所做的就是安装了Ubuntu18.04服务器并安装了基本服务，现在我应该创建网络限制。

我已经完成了以下设置，以使wlan0连接的设备能够使用网关设备服务。同时，wlan0连接设备现在也有了互联网接入，这应该受到限制。

/etc/sysctl.conf

net.ipv4.ip_forward=1

iptables配置

iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables-save  > /etc/iptables/rules.v4
iptables-restore  < /etc/iptables/rules.v4

有人能帮我配置吗？

Answer 1

要解决您的问题，您必须使用filter表的D1链。FORWARD表用于过滤进出主机的每个数据包。(相反，INPUT表用于传入贸易，OUTPUT表用于传出贸易)。实际上有两种方法：

1/根据需要限制所有的贸易和开放：

iptables -t filter -P FORWARD DROP

iptables -t filter -A FORWARD [your rule #1 to match allowed streams(s)] -j ACCEPT

2/仅对要限制访问的设备限制交易：

iptables -t filter -P FORWARD ACCEPT
iptables -t filter -A FORWARD [your rule #1 to match forbidden stream(s)] -j REJECT --reject-with admin-prohib

通常，安全方面的良好做法是第一种做法。