Конфигурирайте GNU / Linux-базиран рутер

Достъпът до интернет (или други мрежи, ако желаете) в LAN е изходната точка за домашни, корпоративни, държавни и т.н. мрежи. Независимо дали у дома, на работа или в лаборатория, правилното администриране на ресурсите играе основна роля за правилното изпълнение на дейностите. Достъпът до интернет и уеб-базирани услуги представляват критични точки в управлението на изчислителните ресурси.
LAN мрежа има точка на взаимно свързване, където всички комуникации се "маршрутизират" към други мрежи и по този начин чрез интернет. Обикновено при вътрешни връзки доставчикът на интернет услуги (ISP) инсталира устройство, което действа като модем и маршрутизатор за мрежата, позволявайки на всички компютри в LAN да имат достъп до интернет услуги.
Какво е рутер?„Това е устройство, което осигурява свързаност на ниво мрежов слой на модела ISO / OSI. Основната му функция е да изпраща или маршрутизира пакети от данни от една мрежа в друга, тоест да свързва подмрежи, като разбира под подмрежа набор от IP машини, които могат да комуникират без намесата на рутер (чрез мостове) и следователно те имат различна мрежа префикси. "
След това маршрутизаторите свързват мрежи; например ако Боб е в подмрежа 10.0.0.0/24 и Алис е в подмрежа 20.0.0.0/24, тъй като те принадлежат към различни подмрежи, те не могат да комуникират директно. Ако е инсталиран рутер с достъп до двете подмрежи (например с 2 мрежови карти, всяка конфигурирана във всяка подмрежа), Боб може да използва рутера за изпращане на данни до Алиса и обратно.

Увеличете

Всеки хост поддържа таблица за маршрутизиране, където основно посочва IP адреса на маршрутизатора, който може да го насочи към IP адрес (мрежа или хост). В случая на една и съща подмрежа всеки хост „знае“, че може да комуникира директно с други системи в самата подмрежа (тъй като те са „съседи“ в същата подмрежа и не се нуждаят от рутери за комуникация).
В типична локална мрежа хостовете конфигурират IP адрес и маска на подмрежата, която определя адресното пространство, с което могат да се свързват, без да са необходими рутери. Ако хостовете трябва да имат достъп до Интернет, допълнително се конфигурира шлюз по подразбиране, който показва IP адреса на рутера, който се използва за достъп до Интернет.
Конфигурацията на сървъри за имена или DNS също е важна, но за това ръководство ще използваме Интернет DNS, например 8.8.8.8 (публичен DNS на Google).
За случая на шлюза по подразбиране в LAN, рутерът не само предоставя услуги за маршрутизиране, но и маскира. Маскирането е необходимо, така че пакетите да се изпращат в интернет с wan ip адреса на рутера, тоест ip, който рутерът има в подмрежата на интернет доставчика, така че посредническите системи да могат да насочат пътя на маршрутизатора. Назад независимо от LAN IP адрес, който изпраща пакета. По този начин всяка LAN подмрежа може да бъде конфигурирана с всеки адрес, независимо дали други клиенти я използват, тъй като рутерът променя IP адреса на източника със свой собствен, преди да изпрати пакетите. Когато пакет "се върне" от интернет, рутерът използва дневник на връзката и "знае" на кой хост да достави пакета.
В типична LAN, ADSL модемът действа като рутер и шлюз по подразбиране за LAN. Въпросът е, че публичният IP адрес е присвоен на ADSL устройството и той осигурява достъп през конфигурируемата LAN мрежа (обикновено мрежа 192.168.1.0/24).
Същото ADSL устройство обикновено присвоява мрежови конфигурации на LAN с помощта на DHCP, така че е необходимо само да конфигурирате компютъра да приема конфигурация автоматично и тогава всичко работи.
В зависимост от модела на модема и типа на достъп до Интернет е възможно модемът да действа само като такъв, като е изискване свързаният с него хост да инициира интернет връзката (например чрез PPPoE). В други случаи е възможно модемът да се "маршрутизира", за да действа като модем-рутер, установявайки самата интернет връзка. Някои доставчици осигуряват директен достъп до публичната мрежа, като посочват на клиента фиксирания публичен IP адрес, който е бил присвоен, шлюза по подразбиране и DNS. Това, че IP адресът е публичен, основно определя, че всеки хост в света, свързан към интернет (без ограничения), ще може да се свърже директно с нас.
Обикновено това е така за корпоративните мрежи и затова това ръководство е представено при такъв сценарий.
Включени системиLAN:
Боб:
MAC адрес: AA: BB: CC: 22: 33: 44
IP адрес: 192.168.1.2/24 (присвоява се чрез DHCP)
Операционна система: Windows XP
Мрежов шлюз (DNS + DHCP):
MAC адрес (LAN): AA: BB: CC: 44: 55: 66
LAN IP адрес: 192.168.1.1/24
WAN IP адрес: 200.51.2.1/30
Път по подразбиране, използващ 200.51.2.2/30
Операционна система: GNU / Linux Ubuntu
ИНТЕРНЕТ:
Интернет рутер:
IP1 адрес: 200.51.2.2/30
IP2 адрес: 180.0.0.2/16
…
Операционна система: GNU / Linux Ubuntu 14.04
Алиса (уеб сървър):
IP адрес: 180.0.0.1/16

Увеличете

На графиката системите вдясно от интернет облака са системи, свързани към публичната мрежа. Боб е в локална мрежа и рутерът, действащ като шлюз по подразбиране (или шлюз по подразбиране на LAN по подразбиране на Боб) е системата, върху която ще се съсредоточим.
Последният трябва да предоставя DHCP услуги на локалната мрежа на Bob и услуга на шлюз (рутер с маскарад).
1) На първо място, мрежовите интерфейси на рутера трябва да бъдат конфигурирани, така че да има връзка в LAN (192.168.1.1/24) и в Интернет (WAN, 200.51.2.1/30); За да направите това, редактирайте конфигурационния файл на мрежата:

 # vim / etc / network / интерфейси 

2) Ако приемем, че eth0 е LAN интерфейсът, а eth1 е WAN интерфейсът, задайте настройките, както следва:

Обърнете внимание, че в началото беше посочено, че мрежовите интерфейси трябва автоматично да се повдигнат с интерфейса за обратна връзка, чрез директивата "auto"
След това за всеки интерфейс, LAN или eth0 и WAN или eth1, мрежовата конфигурация е зададена статично.
В този случай приемаме, че интернет доставчикът или доставчикът на услуги на Боб му е присвоил публичния IP адрес и поправя 200.51.2.1/30, а неговият шлюз е 200.51.2.2.
3) Конфигурирайте името на шлюза, като редактирате файловете „ / etc / hostname“ и „ / etc / hosts“
Заменете името, което изглежда в момента, като внимавате да поставите същото и в двете. За този урок избрах „Gateway“ като име.
Бягай:

 # vim / etc / hostname 

Вмъкнете новото име:

След това стартирайте в терминал:

 # vim / etc / hosts 

И посочете името на рутера, както е показано по -долу:

4) Функцията за препращане на пакети трябва да бъде активирана в шлюза, който конфигурираме, така че да действа като рутер. Изпълнете в терминал на шлюз:

 # vim /etc/sysctl.conf 

5) След това разкомментирайте реда "net.ipv4.ip_forward = 1”И рестартирайте (по причини за тестване)

За да тествате конфигурацията, стартирайте в терминала:

 # cat / proc / sys / net / ipv4 / ip_forward 

Ако изходът е "1", това означава, че функцията за препращане на пакети е активирана:

6) След като системата е конфигурирана като рутер, добавете функционалност за маскиране. С iptables Възможно е да се посочи, че изходящият трафик от LAN към всяка мрежа (интернет) е маскиран от този шлюз.
Изпълнете следната команда:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

Това генерира файла "/etc/reglas-fw.sh". Сега дайте разрешения за изпълнение:

 # chmod + x /etc/init.d/rules-fw.sh 

След това с update-rc.d посочете изпълнението на rules-fw.sh при стартиране:

 # update-rc.d rules-fw.sh начало 90 2 3 4 5. 

Накрая рестартирайте и проверете дали правилото е приложено. За да направите това, след рестартиране изпълнете:

 # iptables -t nat -L -n 

И изходът трябва да показва приложимите правила, в които трябва да се появи маскиращият:

7) За да може рутерът да присвои мрежови настройки на хостовете в локалната мрежа, инсталирайте DHCP сървър със следната команда:

 # apt-get install isc-dhcp-сървър 

8 ) Конфигурирайте DHCP услугата така, че да използва само LAN мрежовия интерфейс (не искаме да разпространяваме IP адреси в Интернет!). За да направите това, редактирайте конфигурационния файл:

 # vim / etc / default / isc-dhcp-сървър 

Посочете LAN интерфейса:

9) Редактирайте конфигурационния файл на DHCP сървъра, за да определите пула от IP адреси, шлюза за присвояване и т.н. Изпълнение при прекратяване:

 # vim /etc/dhcp/dhcpd.conf 

Въведете конфигурацията на подмрежата, dns за присвояване и шлюза. За хоста на Bob сме принудили IP адреса 192.168.1.2 да се присвоява винаги:

 подмрежа 192.168.1.0 маска на мрежата 255.255.255.0 {опционни рутери 192.168.1.1; опция сървъри на име на домейн 8.8.8.8; опция име на домейн "lan"; авторитетен; } хост Боб {хардуерен Ethernet AA: BB: CC: 22: 33: 44; фиксиран адрес 192.168.1.2; } 

Рестартирайте услугата:

 # /etc/init.d/isc-dhcp- рестартиране на сървъра 

Проверете в системния дневник, ако някой клиент поиска IP присвояване:
Увеличете

Както се вижда в простото ръководство за DHCP Spoofing, присвояването на IP чрез DHCP присвоява на Боб адреса, който сме посочили с неговия MAC адрес.

10) Ако всичко е настроено правилно, Боб може да направи пинг на Алиса:

12) Накрая Боб влиза в уебсайта на Алиса:

Важно е да се отбележи, че въпреки че това ръководство се основава на прост сценарий, командите и методите за конфигуриране не варират от сценарий до сценарий, тъй като компонентите и софтуерът са еднакви. Има дистрибуции на Linux, специално подготвени да действат като рутер в локална мрежа, като OpenWRT, DD-WRT и Pfsense (freeBSD). Тези дистрибуции осигуряват приятелски конфигурационен интерфейс и не изискват ръчно въведени команди на терминалите. Това е просто предложение за създаване на наш собствен Gateway на базата на GNU / Linux без помощта на съветници за конфигуриране, тоест „направени изцяло на ръка“.
В по -късни уроци опцията за конфигуриране на локален DNS, пълна защитна стена и прокси услугата ще бъде добавена към това ръководство за управление на достъпа до интернет, така че бъдете внимателни.Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка