网络共享

来自 ArchWiki
(重定向自 Internet Sharing)

相关条目

本文介绍如何将一台机器的互联网连接共享给其他机器。

要求

充当服务器的机器应具有额外的网络设备。该网络设备需要一个功能正常的数据链路层,以连接将要接收互联网访问的机器。

  • 为了能够将互联网共享到多台机器,交换机可以提供数据链路层连接。
  • 无线设备也可以将访问权限共享给多台机器,对于这种情况,请首先参阅软件接入点
  • 如果您只共享给一台机器,则交叉电缆就足够了。如果两台计算机的以太网卡之一具有MDI-X功能,则不需要交叉电缆,可以使用普通的以太网电缆。以 root 身份执行 ethtool interface | grep MDI 有助于确定这一点。

配置

注意: 本节假设连接到客户端计算机的网络设备名为 net0,而连接到互联网的网络设备名为 internet0
提示: 您可以使用 udev#设置静态设备名称 将您的设备重命名为这种方案。

所有配置都在服务器计算机上完成,除了最后一步 #为客户端 PC 分配 IP 地址

静态 IP 地址

在服务器计算机上,为连接到其他机器的接口分配一个静态 IPv4 地址。除非两个接口的子网掩码都严格大于 /24,否则该地址的前 3 个字节不能与另一个接口的完全相同。

# ip link set up dev net0
# ip addr add 192.168.123.100/24 dev net0 # arbitrary address

为了在启动时分配您的静态 IP,您可以使用网络管理器

启用数据包转发

警告: 在没有正确配置 防火墙 的情况下启用 IP 转发存在安全风险。

要检查当前的数据包转发设置,请运行

# sysctl -a | grep forward

您会注意到用于控制默认转发、每个接口转发以及每个接口单独的 IPv4/IPv6 选项。有关所有可用选项的详细描述,请参阅内核文档

要启用 IPv4 和 IPv6 数据包转发,配置 sysctl 以设置这些设置

net.ipv4.ip_forward = 1
net.ipv4.conf.all.forwarding = 1
net.ipv6.conf.all.forwarding = 1
提示: 要为特定接口选择性地启用数据包转发,请改用 net.ipv[46].conf.interface_name.forwarding=1
警告

本文或本章节已过时。

原因: 很可能已过时。因为 systemd-networkd 256+ 现在支持在每个链接级别设置 IPv4 转发。请在确认后删除此注意和下面的警告。(在 Talk:Internet sharing 中讨论)

如果系统使用 systemd-networkd 来控制网络接口,则不可能进行每个接口的 IPv4 设置,即 systemd 逻辑将任何配置的转发传播到 IPv4 的全局(对于所有接口)设置中。建议的解决方法是使用防火墙来再次禁止在选定接口上进行转发。有关更多信息,请参阅 systemd.network(5) 手册页。在之前的 systemd 版本 220/221 中引入的 IPForward=kernel 语义以尊重内核设置不再适用。[1] [2]

要使更改在重启后持久化,请参阅 Sysctl#Configuration。您可以考虑将设置写入到具有描述性文件名的文件中,例如 /etc/sysctl.d/30-ipforward.conf

之后,建议在重启后再次检查是否已按要求启用转发。

使用 systemd-networkd 进行数据包转发

本文或本章节是与 systemd-networkd#[Network] 合并的候选对象。

注意: 对于通用示例,任意文件命名没有意义。没有 [Match] 部分的 .network 文件没有意义。只需说明需要设置什么,并链接到 systemd-networkd#[Network] 页面。(在 Talk:Internet sharing 中讨论)

如果您使用 systemd-networkd 来管理您的网络配置,您还可以跨重启持久化这些设置

/etc/systemd/network/20-lan.network
[Network]
IPv4Forwarding=yes
...

这实际上设置了与上一节中提到的相同的 net.ipv[46].conf.interface_name.forwarding=1。对于 IPv6,配置为 IPv6Forwarding=yes

注意: 从 systemd 256 开始,IPv6Forwarding 选项的行为与文档不符,请参阅 [3]

这仅为特定接口设置数据包转发。为了使互联网共享正常工作,您需要在流量应该在两者之间路由的两个(所有)接口上启用数据包转发。通常是您的 lanwan 接口。

另请参阅 systemd-networkd#[Network]

启用 NAT

使用 iptables

安装 iptables 软件包。使用 iptables 启用 NAT

# iptables -t nat -A POSTROUTING -o internet0 -j MASQUERADE
# iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# iptables -A FORWARD -i net0 -o internet0 -j ACCEPT
注意: 当然,这也适用于移动宽带连接(通常在路由 PC 上称为 ppp0)。

如果您安装了 docker,请使用 -I DOCKER-USER 而不是 -A FORWARD[4]

# iptables -t nat -A POSTROUTING -o internet0 -j MASQUERADE
# iptables -I DOCKER-USER 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# iptables -I DOCKER-USER 2 -i net0 -o internet0 -j ACCEPT

如果通过 PPPoE 连接,请将 mss 钳制到 pmtu 以防止分片

# iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

阅读 iptables 文章以获取更多信息(特别是保存规则并在启动时自动应用它)。还有一篇关于 iptables 的优秀指南:简单的有状态防火墙

使用 nftables

安装 nftables 软件包。要使用 nftables 启用 NAT,您必须在新的/现有的表中创建 postrouting

# nft add table inet nat
# nft add chain inet nat postrouting '{ type nat hook postrouting priority 100 ; }'

之后,您必须为 internet0 伪装 net0 地址

# nft add rule inet nat postrouting oifname internet0 masquerade

许多防火墙配置,例如 默认的 /etc/nftables.conf,将 'filter' 表的 'forward' 链的默认策略设置为 'drop'。在这种情况下,您将需要规则来允许转发 NAT 流量

# nft add rule inet filter forward ct state related,established accept
# nft add rule inet filter forward iifname net0 oifname internet0 accept

您可以在 nftables Wiki 中找到有关 nftables 中 NAT 的更多信息。如果您想使这些更改永久生效,请按照 nftables 上的说明进行操作。

使用 firewalld

安装 firewalld 软件包。firewalld 是一个防火墙守护程序,它依赖于 nftablesiptables。首先更改网络接口的 firewalld 区域

# firewall-cmd --zone=external --change-interface=internet0 --permanent
# firewall-cmd --zone=internal --change-interface=net0 --permanent

然后添加一个新策略,以允许流量在内部区域和外部区域之间流动

# firewall-cmd --permanent --new-policy int2ext
# firewall-cmd --permanent --policy int2ext --add-ingress-zone internal
# firewall-cmd --permanent --policy int2ext --add-egress-zone external
# firewall-cmd --permanent --policy int2ext --set-target ACCEPT
# firewall-cmd --reload
提示: 您可以使用比简单的 ACCEPT 更严格的策略规则,如 firewalld 概念页面的 防火墙规则 部分所示[5]

例如,要仅允许 192.168.2.0/24 中的节点访问互联网,请执行

firewall-cmd --permanent --policy int2ext --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 accept' 不要忘记之后重新加载规则

firewall-cmd --reload

为客户端 PC 分配 IP 地址

如果您计划定期让多台机器使用此机器共享的互联网,那么安装 DHCP 服务器是一个好主意。有关可用选项,请参阅 路由器#DNS 和 DHCP。然后在每台客户端 PC 上配置 DHCP 客户端,请参阅 网络配置#网络管理器

本文或本章节需要语言、wiki 语法或风格方面的改进。请参阅 Talk:Internet sharing 中讨论)

必须允许 DHCP 服务器的传入 UDP 端口 67 的连接。还需要允许 DNS 请求的传入 UDP/TCP 端口 53 的连接。

# iptables -I INPUT -p udp --dport 67 -i net0 -j ACCEPT
# iptables -I INPUT -p udp --dport 53 -s 192.168.123.0/24 -j ACCEPT
# iptables -I INPUT -p tcp --dport 53 -s 192.168.123.0/24 -j ACCEPT

或者使用 firewalld

# firewall-cmd --zone=internal --permanent --add-service dns
# firewall-cmd --zone=internal --permanent --add-service dhcp
# firewall-cmd --zone=internal --permanent --add-service dhcpv6

如果您不打算经常使用此设置,您可以改为手动为每个客户端添加 IP。

手动添加 IP

除了使用 DHCP 之外,还可以手动配置静态 IP 地址和通过 192.168.123.100 的默认路由。有许多工具可用于相应地配置网络。这种工具的一个突出例子是 ip(8),请参阅 网络配置#网络管理。或者,可以使用 .network 文件,请参阅 Systemd-networkd#使用静态 IP 的有线适配器 以设置静态 IP。

为每个客户端配置 DNS 服务器,有关详细信息,请参阅 域名解析

就是这样。客户端 PC 现在应该可以访问互联网了。

故障排除

如果您能够连接两台 PC 但无法发送数据(例如,如果客户端 PC 向服务器 PC 发出 DHCP 请求,服务器 PC 收到请求并向客户端提供 IP,但客户端不接受,而是超时),请检查您是否没有其他 iptables 规则 干扰

客户端无法访问互联网或无法连接

症状可能还包括:客户端在 ping 主机时收到 host is down,在 ping LAN 外部的设备(应该由 NAT 转发)时收到 no route to host,DHCP 提供的地址未跨越桥接,...

已知 docker 可能会导致这些问题。只需 禁用 docker.servicedocker.socket 即可解决此问题。

docker github 问题.

已连接的第二台 PC 无法使用桥接 LAN

第一台 PC 有两个 LAN 接口。第二台 PC 只有一个 LAN 接口,并连接到第一台 PC。 现在要让第二台 PC 在桥接接口后能够访问 LAN。

本文或本章节需要扩充。

原因: 解释这些设置实际的作用。(在 Talk:Internet sharing 中讨论)
# sysctl net.bridge.bridge-nf-filter-pppoe-tagged=0
# sysctl net.bridge.bridge-nf-filter-vlan-tagged=0
# sysctl net.bridge.bridge-nf-call-ip6tables=0
# sysctl net.bridge.bridge-nf-call-iptables=0
# sysctl net.bridge.bridge-nf-call-arptables=0

参见

Retrieved from "https://wiki.archlinux.org.cn/index.php?title=Internet_sharing&oldid=827753"