Switch

• Für den Anfang erstellen nur einen einfachen Layer 2 Switch ohne jegliche Filterregeln
• Dazu muss auf der Maschine bridge-utils installiert werden
• apt install bridge-utils
• Anschließend muss eine Bridge-Schnittstelle erstellt werden, die zwischen allen anderen realen Schnittstellen weiterleiten kann
• vim /etc/network/interfaces

auto lo
iface lo inet loopback

auto enp0s3
iface enp0s3 inet manual

auto enp0s8
iface enp0s8 inet manual

auto enp0s9
iface enp0s9 inet manual
 
auto enp0s10
iface enp0s10 inet manual

auto br0
iface br0 inet static
 address 172.16.1xx.2/24
 gateway 172.16.1xx.1
 bridge_ports all

• systemctl restart networking
• Die IP-Konfiguration auf der Bridge ermöglicht Remote-Zugriff auf den Switch

Bridge Firewall

• Auf dem Switch für das Admin-Netzwerk und das LAN werden Firewall-Regeln erstellt, die die Auflösung aus dem LAN in das Admin-Netzwerk verhindern sollen
• vim /etc/nftables.conf

#!/usr/sbin/nft -f

flush ruleset

define admin_port = enp0s8
define lan = 172.17.1xx.0/24

table bridge bridge_filter {
	chain postrouting {
		type filter hook postrouting priority 0; policy accept;
		oif $admin_port arp saddr ip $lan log prefix "nftables drop ARP von LAN zu Admin-Netzwerk: " drop
	}
}

• systemctl enable --now nftables

VLANs konfigurieren

• Als Alternative zu Bridge Firewalls können VLANs konfiguriert werden
• Dazu muss das Modul 8021q in den Linux-Kernel geladen werden
• apt install vlan
• modprobe 8021q
• Für eine persistente Lösung sollte man das Modul in die Datei /etc/modules eintragen
• vim /etc/modules

8021q

• Ein Layer 2 Switch mit VLANs kann folgendermaßen konfiguriert werden: Linux Layer 2 VLAN Switch
• Der DHCP-Server muss angepasst werden, damit die neuen Schnittstellen auch die Anfragen beantworten können
• vim /etc/default/isc-dhcp-server

...
INTERFACES="enp0s8.2 enp0s9"

VLAN alternative

• Vlan alternative 5103