Настройка маршрутизатора BR-RTR

Конфигурация пограничного маршрутизатора филиала BR: сеть, NAT, SSH и проброс портов.

Подготовка системы

Задаём имя хоста маршрутизатора.

hostnamectl set-hostname BR-RTR
exec bash

Настройка интерфейсов

Формируем базовую сетевую конфигурацию.

echo "source /etc/network/interfaces.d/*" > /etc/network/interfaces
echo -e "\nauto lo" >> /etc/network/interfaces
echo "iface lo inet loopback" >> /etc/network/interfaces

Основной внешний интерфейс в сторону ISP.

IF1=$(ip -br a | awk 'NR==2 {print $1}')

echo -e "auto $IF1\n" >> /etc/network/interfaces
echo "iface $IF1 inet static" >> /etc/network/interfaces
echo "address 172.16.5.2/28" >> /etc/network/interfaces
echo "gateway 172.16.5.1" >> /etc/network/interfaces

Внутренний интерфейс локальной сети филиала BR.

IF2=$(ip -br a | awk 'NR==3 {print $1}')

echo -e "\nauto $IF2" >> /etc/network/interfaces
echo "iface $IF2 inet static" >> /etc/network/interfaces
echo "address 192.168.50.1/27" >> /etc/network/interfaces

Применяем сетевые настройки.

systemctl restart networking

Пользователь и доступ

Создаём администратора системы.

apt update && apt install sudo -y

useradd net_admin -u 2026 -m -s /bin/bash
echo "net_admin:P@ssw0rd" | chpasswd
usermod -aG sudo net_admin

echo "net_admin ALL=(ALL:ALL) NOPASSWD: ALL" >> /etc/sudoers

Firewall и NAT

Устанавливаем firewalld и включаем NAT.

apt install firewalld -y

firewall-cmd --permanent --zone=public --add-masquerade
firewall-cmd --permanent --zone=public --set-target=ACCEPT

Привязываем интерфейсы к firewall зонам.

IF2=$(ip -br a | awk 'NR==3 {print $1}')
IF1=$(ip -br a | awk 'NR==2 {print $1}')

firewall-cmd --permanent --zone=public --add-interface=$IF1
firewall-cmd --permanent --zone=public --add-interface=$IF2

Применяем настройки firewall.

firewall-cmd --reload

Время

Настройка временной зоны и синхронизации.

timedatectl set-timezone Asia/Vladivostok
timedatectl set-ntp true

SSH

Включаем SSH доступ и добавляем баннер безопасности.

apt install ssh -y

echo "Authorized access only" > /etc/ssh/banner
echo "Banner /etc/ssh/banner" >> /etc/ssh/sshd_config

systemctl restart sshd

Проброс портов

Пробрасываем HTTP и служебные порты на внутренний сервер BR.

firewall-cmd --permanent --zone=public --add-forward-port=port=8080:proto=tcp:toport=8080:toaddr=192.168.0.2
firewall-cmd --permanent --zone=public --add-forward-port=port=2026:proto=tcp:toport=2026:toaddr=192.168.0.2