在 iptables 上設定 NAT

不久之前,小易將家裡的一台電腦裝上了 Ubuntu 20.04,並把它當成了軟路由在使用。 但小易發現了一件事情,就是電腦沒辦法上網RRR! 我們透過 mtr 追蹤路由後發現… 路由送到 Gateway 就出不去了,於是我們在路由器上抓包發現 我們的內部 IP 發給 ISP 了。但沒有回程。 如果 ISP 沒有設定好的話,就容易導致 IP Spoofing。 所以我們必須要在這邊設定好封包轉換(NAT),才可以上網! 在 iptables 上的指令為這樣(注意:eth1 是公網網卡名稱) iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 另外,如果只想允許某段網段轉換為 NAT,則可以寫成 iptables -t nat -A POSTROUTING -s 10.121.210.0/24 -o eth1 -j MASQUERADE

March 8, 2021 · SteveYi

成為 MANRS 參與者!

在去年年底時,我送出了 SteveYi Network Service 的 MANRS 申請 今年年初時,我們通過了審核。正式成為 MANRS 的參與者! 我們的會員介紹在這裏 https://www.manrs.org/isps/participants/entry/1484/ 那麼,我們就順便來說說 我們如何實施 MANRS 政策 MANRS 主要有四個政策,分別是這些 避免廣播錯誤的路由 阻止錯誤偽造的IP流量 促進網絡運營商之間的溝通與協調 促進驗證在網際網路內的路由訊息 那我們是如何做到這些呢? 首先,我們在我們的核心路由器上阻斷了 RFC1918 定義的私網 IP 位置流量,來自這些 IP位置 的流量並不會往公網發送 其次,我們遵守 RFC 8212,在沒有明確的路由策略下,我們 不會廣播沒有使用的網段。 並且,我們會從我們的 AS-STEVEYI 中產生對應的 IRR 紀錄,並過濾掉 不屬於我們的路由 我們也會過濾與我們建立私人對等的對等方路由,我們會將所有對等方的 AS-SET 或 ASN 加進我們的 AS-STEVEYI-A 中,並自動產生對應的 IRR 紀錄,過濾無效的路由 我們也歡迎對我們的過濾系統有興趣的網路愛好者/工程師,可以發信至 info_at_steveyi_dot_net 與我們聯繫!

January 25, 2021 · SteveYi

透過 BGP 與朋友組成內網

嗨!好久不見! 在 2020 初時,我拿到了第一個 ASN號碼 - AS209557 我也使用了 RFC 1918 所定義的 IP Address ,與我一些朋友透過 BGP 及 Internet 隧道 組成了一個大內網 那麼,讓我們開始吧! 首先,我們使用 Ubuntu 20.04 來建立隧道,並與其他人建立 BGP 對等 那通常,我都是使用 GRE, SIT 或是 WireGuard 其中,GRE 或 SIT 隧道是屬於非加密隧道,在公網上是可以查看到其封包的。若要加密需要配上 IPsec WireGuard 則是在 2019 年 9 月 推出的點對點隧道,在 2020 年 3 月 已列入 Linux 內核 (其實更早就在 Beta 了,但小易用 WireGuard 時已經是屬於穩定版了) 那接著,是我與我朋友的對等信息 PS. 部分 IP Address 被基於安全因素,可能與實際使用的 IP Address 不同 我的資料 公網 IP Address: 59.126.1.1 隧道內 IP Address: 10....

January 24, 2021 · SteveYi