Konfigurujte směrovač založený na GNU / Linuxu

Obsah
Přístup k internetu (nebo jiným sítím, pokud chcete) v síti LAN je výstupním bodem pro domácí, podnikové, vládní atd. Sítě. Ať už doma, v práci nebo v laboratoři, správná správa zdrojů hraje zásadní roli při správném výkonu činností. Přístup k internetu a webové služby představují kritické body při správě výpočetních prostředků.
Síť LAN má propojovací bod, kde je veškerá komunikace „směrována“ do jiných sítí, a tedy prostřednictvím internetu. V domácích připojeních obvykle poskytovatel internetových služeb (ISP) nainstaluje zařízení, které funguje jako modem a router pro síť, což umožňuje všem počítačům v síti LAN přístup k internetovým službám.
Co je router?"Je to zařízení, které poskytuje připojení na úrovni síťové vrstvy modelu ISO / OSI." Jeho hlavní funkcí je odesílat nebo směrovat datové pakety z jedné sítě do druhé, tj. Propojit podsítě, porozumět podsíti sadou IP strojů, které mohou komunikovat bez zásahu routeru (přes mosty), a proto mají jinou síť předpony. "
Směrovače pak propojují sítě; například pokud je Bob v podsíti 10.0.0.0/24 a Alice je v podsíti 20.0.0.0/24, protože patří do různých podsítí, nemohou komunikovat přímo. Pokud je nainstalován směrovač s přístupem k oběma podsítím (například se 2 síťovými kartami, z nichž každá je nakonfigurována v každé podsíti), mohl by Bob použít směrovač k odesílání dat Alice a naopak.

ZVĚTŠIT

Každý hostitel udržuje směrovací tabulku, kde v podstatě ukazuje na IP adresu routeru, který jej může směrovat na IP adresu (síť nebo hostitel). V případě stejné podsítě každý hostitel „ví“, že může komunikovat přímo s jinými systémy v samotné podsíti (protože jsou „sousedy“ ve stejné podsíti a ke komunikaci nepotřebují směrovače).
V typické síti LAN konfigurují hostitelé adresu IP a masku podsítě, která určuje adresní prostor, na který se mohou obrátit bez potřeby směrovačů. Pokud hostitelé musí přistupovat k internetu, je navíc nakonfigurována výchozí brána, která udává IP adresu routeru, který se používá pro přístup k internetu.
Důležitá je také konfigurace nameserverů nebo DNS, ale pro tuto příručku použijeme internetový DNS, například 8.8.8.8 (veřejné DNS společnosti Google).
V případě výchozí brány v síti LAN router poskytuje nejen směrovací služby, ale také maskování. Maskování je nutné, aby byly pakety odesílány na internet s adresou wan routeru, tj. IP, kterou má router v podsíti poskytovatele internetu, aby zprostředkovatelské systémy mohly směrovat cestu routeru zpět bez ohledu na LAN IP adresa, která odeslala paket. Tímto způsobem lze každou podsíť LAN konfigurovat s jakoukoli adresou bez ohledu na to, zda ji používají ostatní klienti, protože router před odesláním paketů upraví zdrojovou IP adresu pomocí vlastní. Když se paket „vrátí“ z internetu, router použije protokol připojení a „ví“, kterému hostiteli paket doručit.
V typické síti LAN funguje modem ADSL jako router a výchozí brána pro síť LAN. Jde o to, že veřejná IP adresa je přiřazena zařízení ADSL a poskytuje přístup přes konfigurovatelnou síť LAN (obvykle síť 192.168.1.0/24).
Stejné zařízení ADSL běžně přiřazuje síťové konfigurace k síti LAN pomocí DHCP, takže je nutné pouze nakonfigurovat počítač tak, aby automaticky provedl konfiguraci, a poté vše funguje.
V závislosti na modelu modemu a typu přístupu k internetu je možné, že modem funguje pouze jako takový, což je požadavek, aby hostitel k němu připojený zahájil připojení k internetu (například prostřednictvím PPPoE). V ostatních případech je možné „směrovat“ modem tak, aby fungoval jako směrovač modemu a navázal samotné připojení k internetu. Někteří poskytovatelé poskytují přímý přístup do veřejné sítě, přičemž klientovi indikují přidělenou pevnou veřejnou IP adresu, výchozí bránu a DNS. Že je IP adresa veřejná, v zásadě určuje, že jakýkoli hostitel na světě připojený k internetu (bez omezení) nás bude moci kontaktovat přímo.
Obvykle to platí pro podnikové sítě, a proto je tato příručka uvedena v takovém scénáři.
Zapojené systémyLAN:
Bob:
Adresa MAC: AA: BB: CC: 22: 33: 44
IP adresa: 192.168.1.2/24 (přiřaditelné přes DHCP)
OS: Windows XP
Síťová brána (DNS + DHCP):
Adresa MAC (LAN): AA: BB: CC: 44: 55: 66
LAN IP adresa: 192.168.1.1/24
IP adresa WAN: 200.51.2.1/30
Výchozí cesta pomocí 200.51.2.2/30
OS: GNU / Linux Ubuntu
INTERNET:
Internetový router:
Adresa IP1: 200.51.2.2/30
Adresa IP2: 180.0.0.2/16

OS: GNU / Linux Ubuntu 14.04
Alice (webový server):
IP adresa: 180.0.0.1/16

ZVĚTŠIT

V grafu jsou systémy napravo od internetového cloudu systémy připojené k veřejné síti. Bob je v síti LAN a směrovač fungující jako výchozí brána (nebo Bobova výchozí brána LAN) je systém, na který se zaměříme.
Ten musí poskytovat služby DHCP pro Bobovu LAN a službu brány (router s maškarádou).
1) V první řadě musí být síťová rozhraní routeru nakonfigurována tak, aby mělo připojení v síti LAN (192.168.1.1/24) a na internetu (WAN, 200.51.2.1/30); Chcete -li to provést, upravte konfigurační soubor sítě:

 # vim / etc / network / interfaces 

2) Za předpokladu, že eth0 je rozhraní LAN a eth1 je rozhraní WAN, zadejte nastavení následujícím způsobem:

Všimněte si, že na začátku bylo naznačeno, že síťová rozhraní by se měla automaticky zvednout s rozhraním zpětné smyčky, pomocí směrnice „auto“
Potom pro každé rozhraní, LAN nebo eth0 a WAN nebo eth1, byla konfigurace sítě staticky specifikována.
V tomto případě předpokládáme, že Bobův ISP nebo ISP mu přidělil veřejnou IP adresu a opravuje 200.51.2.1/30 a jeho brána je 200.51.2.2.
3) Nakonfigurujte název brány úpravou souborů „ / etc / hostname“ a „ / etc / hosts“
Nahraďte název, který se aktuálně objevuje, dávejte pozor, abyste do obou vložili totéž. Pro tento tutoriál jsem jako název vybral „Gateway“.
Běh:

 # vim / etc / hostname 

Vložte nový název:

Poté spusťte v terminálu:

 # vim / etc / hosts 

A zadejte název routeru, jak je uvedeno níže:

4) Funkce přesměrování paketů musí být aktivována v bráně, kterou konfigurujeme, aby fungovala jako router. Provést v terminálu brány:

 # vim /etc/sysctl.conf 

5) Potom odkomentujte řádek "net.ipv4.ip_forward = 1"A restartujte (z důvodů testování)

Chcete -li otestovat konfiguraci, spusťte v terminálu:

 # cat / proc / sys / net / ipv4 / ip_forward 

Pokud je výstup „1“, znamená to, že je aktivována funkce přesměrování paketů:

6) Jakmile je systém nakonfigurován jako router, přidejte maskovací funkce. S iptables Je možné uvést, že odchozí provoz z LAN do jakékoli sítě (internet) je touto bránou maskován.
Spusťte následující příkaz:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

Tím se vygeneruje soubor "/etc/reglas-fw.sh". Nyní udělte oprávnění ke spuštění:

 # chmod + x /etc/init.d/rules-fw.sh 

Potom s aktualizací-rc.d označte spuštění pravidel-fw.sh při spuštění:

 # update-rc.d rules-fw.sh start 90 2 3 4 5. 

Nakonec restartujte a vyzkoušejte, zda bylo pravidlo uplatněno. Chcete -li to provést, po restartování spusťte:

 # iptables -t nat -L -n 

A výstup by měl ukázat použitá pravidla, ve kterých by se mělo objevit maskovací:

7) Aby směrovač přiřadil síťová nastavení hostitelům v síti LAN, nainstalujte server DHCP pomocí následujícího příkazu:

 # apt-get install isc-dhcp-server 

8 ) Nakonfigurujte službu DHCP tak, aby používala pouze síťové rozhraní LAN (nechceme distribuovat IP adresy na internet!). Chcete -li to provést, upravte konfigurační soubor:

 # vim / etc / default / isc-dhcp-server 

Zadejte rozhraní LAN:

9) Upravte konfigurační soubor serveru DHCP a určete fond IP adres, bránu, kterou chcete přiřadit atd. Spustit na konci:

 # vim /etc/dhcp/dhcpd.conf 

Zadejte konfiguraci podsítě, DNS pro přiřazení a bránu. Pro Bobova hostitele jsme vynutili, aby IP adresa 192.168.1.2 byla přiřazena vždy:

 podsíť 192.168.1.0 maska ​​sítě 255.255.255.0 {volitelné směrovače 192.168.1.1; volba server-název-serverů 8.8.8.8; možnost název_domény „lan“; autoritativní; } hostitel Bob {hardware ethernet AA: BB: CC: 22: 33: 44; pevná adresa 192.168.1.2; } 

Restartujte službu:
 # /etc/init.d/isc-dhcp-server restart 

Zkontrolujte v systémovém protokolu, zda nějaký klient požaduje přiřazení IP:
ZVĚTŠIT

Jak je vidět v jednoduchém tutoriálu DHCP Spoofing, přiřazení IP prostřednictvím DHCP přiřadí Bobovi adresu, kterou jsme zadali jeho MAC adresou.

10) Pokud je vše nastaveno správně, Bob by mohl pingovat Alice:

12) Nakonec Bob navštíví Alicein web:

Je důležité si uvědomit, že ačkoli je tato příručka založena na jednoduchém scénáři, konfigurační příkazy a metody se v různých scénářích neliší, protože zahrnuté součásti a software jsou stejné. Existují distribuce Linuxu speciálně připravené fungovat jako router v síti LAN, například OpenWRT, DD-WRT a Pfsense (freeBSD). Tyto distribuce poskytují přátelské konfigurační rozhraní a nevyžadují ručně zadané příkazy na terminálech. Toto je jednoduchý návrh na nastavení naší vlastní brány založené na GNU / Linuxu bez pomoci průvodců konfigurací, tedy „vyrobeno zcela ručně“.
V dalších tutoriálech bude do této příručky přidána možnost konfigurovat lokální DNS, kompletní firewall a službu Proxy pro správu přístupu k internetu, takže buďte opatrní.Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod
wave wave wave wave wave