To build a Linux-based home router and firewall, start by selecting compatible hardware with at least two Ethernet ports, install a minimal Linux distribution like Debian, configure network interfaces for WAN and LAN, enable IP forwarding and NAT using iptables, set up a DHCP server for automatic IP assignment, harden the system with firewall rules, optionally add services like DNS or VPN, and ensure reliability through secure access,更新和備份； 1。選擇具有雙NIC，1-2 GB RAM和8 GB存儲的硬件。 2。安裝Debian，Ubuntu，Alpine或Centos流。 3。分配WAN（DHCP）和LAN（靜態(tài)IP）接口。 4。通過net.ipv4.ip_forward = 1啟用IP轉(zhuǎn)發(fā)= 1，並將NAT與Iptables化妝舞會一起應用。 5。為LAN客戶端安裝和配置ISC-DHCP-Server。 6.使用iPtables規(guī)則保護路由器，允許回環(huán)，已建立的連接，局域網(wǎng)訪問和有限的WAN輸入，同時丟棄不必要的流量。 7?？蛇x地使用DNSMASQ，ID，交通塑造或線蟲來增強。 8。使用SSH鍵，無人看管的升級，靜態(tài)WAN IP或DDN以及常規(guī)備份來硬化安全性；該設置可以完全控制安全性，流量和記錄，從而產(chǎn)生可靠，可自定義且功能強大的家門口，其表現(xiàn)優(yōu)於典型的消費路由器。

與大多數(shù)消費者路由器相比，建立基於Linux的家用路由器和防火牆可讓您完全控製網(wǎng)絡 - 賓至如歸的安全性，交通塑造，記錄和自定義。它並不像聽起來那樣難，並且使用適度的PC或單板計算機，您可以創(chuàng)建功能強大的可靠網(wǎng)關。這是逐步進行的方法。

1。選擇您的硬件和網(wǎng)絡設置

在安裝任何內(nèi)容之前，請確保硬件支持多個網(wǎng)絡接口的路由。

• 最低要求：

  
  • 一臺至少兩個以太網(wǎng)端口的機器（一個用於WAN，一臺用於LAN）。
  • 1-2 GB RAM（如果您打算運行諸如DNS或IDS之類的額外服務）。
  • 8 GB存儲（SSD甚至USB驅(qū)動器都可以）。
  • 可選：如果需要DMZ或來賓網(wǎng)絡，則第三個NIC。

• 通用平臺：

  • 舊的PC/筆記本電腦，帶有額外的USB到Eternet適配器。
  • Raspberry Pi 4/5之類的單板計算機（由於共享總線可能需要USB NIC）。
  • 諸如Protectli ， PC發(fā)動機APU或QOTOM迷你PC等專用設備。

？提示：在Linux中最好支持Intel NIC。如果可能的話，請避免Realtek。

您的基本網(wǎng)絡佈局：

互聯(lián)網(wǎng)→[WAN接口] Linux路由器[LAN接口]→開關→您的設備

2。安裝最小Linux分佈

選擇一個穩(wěn)定，輕巧且有據(jù)可查的Linux發(fā)行版。建議的選項：

• Debian - 搖滾樂，非常適合初學者。
• Ubuntu Server - 用戶友好的社區(qū)支持。
• Alpine Linux - 非常輕巧，適合嵌入式式設置。
• CentOS流 /巖石Linux - 如果您喜歡基於RHEL的系統(tǒng)。

步驟：

1. 從USB啟動，並僅使用SSH服務器和標準系統(tǒng)實用程序安裝操作系統(tǒng)。
2. 稍後將靜態(tài)IP分配 - 使用DHCP啟動進行設置。
3. 更新系統(tǒng)：

    sudo apt更新&& sudo apt升級-y

3。配置網(wǎng)絡接口

編輯網(wǎng)絡配置以定義WAN和LAN角色。

在Debian/Ubuntu上，編輯/etc/network/interfaces （或在Ubuntu中使用netplan ）：

 ＃WAN（連接到調(diào)製解調(diào)器，通過DHCP獲取IP）
自動ENP3S0
IFACE ENP3S0 INET DHCP

＃LAN（內(nèi)部網(wǎng)絡，靜態(tài)IP）
自動ENP4S0
IFACE ENP4S0 INET靜態(tài)
    地址192.168.2.1
    NetMask 255.255.255.0
    廣播192.168.2.255

將enp3s0和enp4s0替換為您的實際接口名稱（要檢查ip a ）。

然後重新啟動網(wǎng)絡：

 sudo systemctl重新啟動網(wǎng)絡

4。啟用IP轉(zhuǎn)發(fā)和NAT

要在網(wǎng)絡之間路由流量，請啟用內(nèi)核IP轉(zhuǎn)發(fā)。

edit /etc/sysctl.conf ：

 net.ipv4.ip_forward = 1

立即申請：

 sudo sysctl -p

現(xiàn)在，使用iptables設置NAT（化裝偽造） ：

 sudo iptables -t nat -a poStrouting -o enp3s0 -j化裝舞會
sudo iptables -a前進-i enp3s0 -o enp4s0 -m狀態(tài) -  state相關，已建立-J接受
sudo iptables -a前進-i enp4s0 -o enp3s0 -j接受

保存規(guī)則（安裝iptables-persistent ）：

 sudo apt安裝iptables is stistent
sudo netfilter-persistent保存

現(xiàn)在，LAN上的設備可以通過您的路由器訪問Internet。

5。設置DHCP服務器（可選但建議）

安裝isc-dhcp-server在您的LAN上自動分配IPS。

 sudo apt安裝isc-dhcp-server

編輯/etc/dhcp/dhcpd.conf ：

子網(wǎng)192.168.2.0 NetMask 255.255.255.0 {
  範圍192.168.2.100 192.168.2.200;
  選項路由器192.168.2.1;
  選項域名servers 8.8.8.8，8.8.4.4;
  選項子網(wǎng)面具255.255.255.0;
  選項廣播地址192.168.2.255;
}

然後在/etc/default/isc-dhcp-server中設置接口：

 Interfacesv4 =“ ENP4S0”

開始並啟用：

 sudo systemctl start isc-dhcp-server
sudo systemctl啟用isc-dhcp-server

6。硬防火牆

使用iptables或nftables阻止不必要的流量。

保護路由器本身的基本規(guī)則：

 ＃沖洗現(xiàn)有規(guī)則
iptables -f
iptables -x

＃允許回環(huán)
iptables -a輸入-i lo -j接受
iptables -a輸入-m狀態(tài) - 建立，相關-j接受

＃允許LAN到Router（SSH等）
iptables -a輸入-i enp4s0 -j接受

＃允許有限的WAN訪問（例如，僅來自LAN的ICMP和SSH）
iptables -a輸入-i enp3s0 -p icmp -icmp -type echo -request -j接受
＃僅允許LAN的SSH：
＃iptables -a輸入-i enp3s0 -p tcp -dport 22 -J drop

＃放下其他一切
iptables -A輸入-J滴

＃再次保存
sudo netfilter-persistent保存

？永遠不要鎖定自己。仔細測試規(guī)則?？紤]在設置期間暫時允許SSH。

7。可選：添加有用的服務

一旦路由起作用，請增強功能：

• 帶有dnsmasq的DNS：緩存查詢和塊廣告。

   sudo apt安裝dnsmasq

  將其配置為在LAN上聆聽，然後向前轉(zhuǎn)到上游DNS。

• 入侵檢測（SNORT或SURICATA）：監(jiān)視可疑流量。

• 帶寬控件（流量塑形）：使用tc或wondershaper 。

• VPN服務器（OpenVPN/WireGuard）：遠程訪問您的網(wǎng)絡。

• 日誌記錄：使用rsyslog或journalctl監(jiān)視防火牆滴。

8。使其可靠且可維護

• 啟用SSH密鑰訪問並禁用根登錄。
• 設置自動安全更新：

   sudo apt安裝無人看管的升級

• 如果您的ISP允許（或使用動態(tài)DNS客戶端），則將靜態(tài)IP用於路由器的WAN 。
• 備份您的配置文件（ /etc/network ， /etc/iptables ， /etc/dhcp ）。
• 標籤電纜清楚 - wan vs lan混亂很常見。

---

最後筆記

基於Linux的路由器不僅是一個極客項目，而且是提高家庭網(wǎng)絡性能和安全性的一種實用方法。設置後，它會在後臺安靜地運行，通常比消費者裝備更可靠。

簡單啟動：獲取路由和NAT首先工作。然後根據(jù)需要添加DHCP，防火牆規(guī)則和附加功能。

通過定期更新和基本監(jiān)控，您的Linux路由器可以為您服務多年。

基本上，這只是一個Linux Box做路由器所做的事情 - 僅僅是您負責。

以上是如何構(gòu)建基於Linux的家庭路由器和防火牆的詳細內(nèi)容。更多資訊請關注PHP中文網(wǎng)其他相關文章！