Skonfiguruj router oparty na GNU/Linux

Dostęp do Internetu (lub innych sieci, jeśli wolisz) w sieci LAN jest punktem wyjścia dla sieci domowych, korporacyjnych, rządowych itp. Czy to w domu, w pracy, czy w laboratorium, prawidłowe administrowanie zasobami odgrywa fundamentalną rolę w prawidłowym wykonywaniu czynności. Dostęp do Internetu i usługi sieciowe stanowią krytyczne punkty w zarządzaniu zasobami obliczeniowymi.
Sieć LAN ma punkt połączenia, w którym cała komunikacja jest „kierowana” do innych sieci, a więc przez Internet. Zwykle w połączeniach krajowych dostawca usług internetowych (ISP) instaluje urządzenie, które działa jako modem i router w sieci, umożliwiając wszystkim komputerom w sieci LAN dostęp do usług internetowych.
Co to jest router?„To urządzenie, które zapewnia łączność na poziomie warstwy sieciowej modelu ISO/OSI. Jego główną funkcją jest wysyłanie lub trasowanie pakietów danych z jednej sieci do drugiej, czyli łączenie podsieci, rozumienie przez podsieć zestawu maszyn IP, które mogą komunikować się bez interwencji routera (poprzez mosty), a zatem mają inną sieć przedrostki”.
Następnie routery łączą sieci; na przykład jeśli Bob jest w podsieci 10.0.0.0/24, a Alicja w podsieci 20.0.0.0/24, ponieważ należą one do różnych podsieci, nie mogą komunikować się bezpośrednio. Jeśli router jest zainstalowany z dostępem do obu podsieci (na przykład z 2 kartami sieciowymi, każda skonfigurowana w każdej podsieci), Bob może użyć routera do wysyłania danych do Alicji i odwrotnie.

POWIĘKSZAĆ

Każdy host utrzymuje tablicę routingu, w której zasadniczo wskazuje adres IP routera, który może przekierować go na adres IP (sieć lub host). W przypadku tej samej podsieci każdy host „wie”, że może komunikować się bezpośrednio z innymi systemami w samej podsieci (ponieważ są „sąsiadami” w tej samej podsieci i nie potrzebują routerów do komunikacji).
W typowej sieci LAN hosty konfigurują adres IP i maskę podsieci, które określają przestrzeń adresową, z którą mogą się kontaktować bez potrzeby stosowania routerów. Jeśli hosty muszą mieć dostęp do Internetu, dodatkowo konfigurowana jest brama domyślna, która wskazuje adres IP routera używanego do dostępu do Internetu.
Konfiguracja serwerów nazw lub DNS jest również ważna, ale w tym przewodniku użyjemy internetowego DNS, na przykład 8.8.8.8 (publiczny DNS Google).
W przypadku domyślnej bramy w sieci LAN router zapewnia nie tylko usługi routingu, ale także maskarady. Maskowanie jest konieczne, aby pakiety były wysyłane do Internetu z adresem wan ip routera, czyli adresem IP, który router ma w podsieci dostawcy Internetu, aby systemy pośredniczące mogły kierować ścieżkę routera z powrotem niezależnie od sieci LAN Adres IP, z którego wysłał pakiet. W ten sposób każda podsieć LAN może być skonfigurowana z dowolnym adresem niezależnie od tego, czy używają go inni klienci, ponieważ router przed wysłaniem pakietów modyfikuje źródłowy adres IP własnymi. Gdy pakiet „powraca” z Internetu, router używa dziennika połączeń i „wie”, do którego hosta ma dostarczyć pakiet.
W typowej sieci LAN modem ADSL działa jako router i domyślna brama sieci LAN. Chodzi o to, że publiczny adres IP jest przypisany do urządzenia ADSL i zapewnia dostęp poprzez konfigurowalną sieć LAN (najczęściej sieć 192.168.1.0/24).
To samo urządzenie ADSL zwykle przypisuje konfiguracje sieciowe do sieci LAN za pomocą DHCP, więc wystarczy skonfigurować komputer, aby automatycznie dokonywał konfiguracji i wtedy wszystko działa.
W zależności od modelu modemu i rodzaju dostępu do Internetu, możliwe jest, że Modem działa tylko jako taki, co oznacza, że ​​podłączony do niego host zainicjuje połączenie z Internetem (np. przez PPPoE). W innych przypadkach możliwe jest „przekierowanie” modemu tak, aby działał jako modem-router, samoczynnie nawiązując połączenie z Internetem. Niektórzy dostawcy zapewniają bezpośredni dostęp do sieci publicznej, wskazując klientowi stały publiczny adres IP, który został przypisany, bramę domyślną i DNS. To, że adres IP jest publiczny, w zasadzie określa, że ​​każdy host na świecie podłączony do Internetu (bez ograniczeń) będzie mógł skontaktować się z nami bezpośrednio.
Zwykle dzieje się tak w przypadku sieci korporacyjnych i dlatego niniejszy przewodnik jest prezentowany w takim scenariuszu.
Zaangażowane systemyLAN:
Pion:
Adres MAC: AA: BB: CC: 22: 33: 44
Adres IP: 192.168.1.2/24 (przypisywalny przez DHCP)
System operacyjny: Windows XP
Brama sieciowa (DNS + DHCP):
Adres MAC (LAN): AA: BB: CC: 44: 55: 66
Adres IP LAN: 192.168.1.1/24
Adres IP WAN: 200.51.2.1/30
Domyślna ścieżka przy użyciu 200.51.2.2/30
System operacyjny: GNU / Linux Ubuntu
INTERNET:
Router internetowy:
Adres IP1: 200.51.2.2/30
Adres IP2: 180.0.0.2/16
…
System operacyjny: GNU / Linux Ubuntu 14.04
Alicja (serwer WWW):
Adres IP: 180.0.0.1/16

POWIĘKSZAĆ

Na wykresie systemy po prawej stronie chmury internetowej to systemy podłączone do sieci publicznej. Bob znajduje się w sieci LAN, a router działający jako brama domyślna (lub brama domyślna LAN Boba) jest systemem, na którym się skupimy.
Ten ostatni musi świadczyć usługi DHCP w sieci LAN Boba oraz usługę bramy (router z maskaradą).
1) W pierwszej kolejności należy skonfigurować interfejsy sieciowe routera tak, aby miał połączenie w sieci LAN (192.168.1.1/24) oraz w Internecie (WAN, 200.51.2.1/30); Aby to zrobić, edytuj plik konfiguracji sieci:

 # vim / etc / sieć / interfejsy 

2) Zakładając, że eth0 to interfejs LAN, a eth1 to interfejs WAN, określ ustawienia w następujący sposób:

Zauważ, że na początku wskazano, że interfejsy sieciowe powinny automatycznie podnosić się z interfejsem pętli zwrotnej, za pomocą dyrektywy "auto"
Następnie dla każdego interfejsu, LAN lub eth0 i WAN lub eth1, konfiguracja sieci została określona statycznie.
W tym przypadku zakładamy, że ISP lub ISP Boba przypisał mu publiczny adres IP i naprawia 200.51.2.1/30, a jego brama to 200.51.2.2.
3) Skonfiguruj nazwę bramki, edytując pliki "/ etc / hostname" i "/ etc / hosts"
Zastąp nazwę, która obecnie się pojawia, uważając, aby umieścić ją w obu. W tym samouczku jako nazwę wybrałem "Brama".
Uruchomić:

 # vim / etc / nazwa hosta 

Wstaw nową nazwę:

Następnie uruchom w terminalu:

 # vim / etc / hosts 

I określ nazwę routera, jak pokazano poniżej:

4) Funkcjonalność przekazywania pakietów musi być aktywowana w konfigurowanej przez nas bramie, aby działała jako router. Wykonaj w terminalu Gateway:

 # vim /etc/sysctl.conf 

5) Następnie odkomentuj wiersz "net.ipv4.ip_forward = 1”I uruchom ponownie (ze względów testowych)

Aby przetestować konfigurację, uruchom w terminalu:

 # cat / proc / sys / net / ipv4 / ip_forward 

Jeżeli wyjście ma wartość „1” oznacza to, że funkcja przekierowania pakietów jest aktywna:

6) Po skonfigurowaniu systemu jako routera dodaj funkcję maskowania. Z iptables Możliwe jest wskazanie, że ruch wychodzący z sieci LAN do dowolnej sieci (Internetu) jest maskowany przez tę bramkę.
Uruchom następujące polecenie:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

To generuje plik "/etc/reglas-fw.sh". Teraz przyznaj uprawnienia do wykonywania:

 # chmod + x /etc/init.d/rules-fw.sh 

Następnie za pomocą update-rc.d wskaż wykonanie rules-fw.sh podczas uruchamiania:

 # update-rc.d rules-fw.sh start 90 2 3 4 5. 

Na koniec uruchom ponownie i sprawdź, czy reguła została zastosowana. Aby to zrobić, po ponownym uruchomieniu wykonaj:

 # iptables -t nat -L -n 

A wynik powinien pokazywać zastosowane reguły, w których powinna pojawić się maskująca:

7) Aby router przypisał ustawienia sieciowe do hostów w sieci LAN, zainstaluj serwer DHCP za pomocą następującego polecenia:

 # apt-get install isc-dhcp-server 

8 ) Skonfiguruj usługę DHCP tak, aby korzystała tylko z interfejsu sieciowego LAN (nie chcemy dystrybuować adresów IP do Internetu!). W tym celu edytuj plik konfiguracyjny:

 # vim / etc / default / isc-dhcp-server 

Określ interfejs sieciowy:

9) Edytuj plik konfiguracyjny serwera DHCP, aby określić pulę adresów IP, bramę do przypisania itp. Uruchom na zakończenie:

 # vim /etc/dhcp/dhcpd.conf 

Wprowadź konfigurację podsieci, adres dns do przypisania i bramę. W przypadku hosta Boba wymusiliśmy przypisywanie adresu IP 192.168.1.2 zawsze:

 podsieć 192.168.1.0 maska ​​sieci 255.255.255.0 {opcja routery 192.168.1.1; opcja serwery nazw domen 8.8.8.8; opcja nazwa domeny "lan"; autorytatywny; } host Bob {sprzęt ethernet AA: BB: CC: 22: 33: 44; stały adres 192.168.1.2; } 

Uruchom ponownie usługę:

 # /etc/init.d/isc-dhcp-restart serwera 

Sprawdź w dzienniku systemowym, czy jakiś klient żąda przypisania IP:
POWIĘKSZAĆ

Jak widać w samouczku DHCP Spoofing Simple, przypisanie adresu IP przez DHCP przypisuje Bobowi adres określony przez jego adres MAC.

10) Jeśli wszystko jest poprawnie skonfigurowane, Bob może pingować Alice:

12) Wreszcie Bob uzyskuje dostęp do strony internetowej Alice:

Należy zauważyć, że chociaż ten przewodnik jest oparty na prostym scenariuszu, polecenia i metody konfiguracji nie różnią się w zależności od scenariusza, ponieważ zaangażowane komponenty i oprogramowanie są takie same. Istnieją dystrybucje Linuksa specjalnie przygotowane do działania jako router w sieci LAN, takie jak OpenWRT, DD-WRT i Pfsense (freeBSD). Te dystrybucje zapewniają przyjazny interfejs konfiguracyjny i nie wymagają ręcznie wprowadzanych poleceń na terminalach. Jest to prosta propozycja założenia własnej Bramy w oparciu o GNU/Linux bez pomocy kreatorów konfiguracji, czyli „w całości ręcznie”.
W późniejszych samouczkach do tego przewodnika zostanie dodana opcja konfiguracji lokalnego DNS, kompletnej zapory i usługi proxy, aby zarządzać dostępem do Internetu, więc bądź ostrożny.Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt