Konfigūruokite GNU / Linux pagrįstą maršrutizatorių

Prieiga prie interneto (ar kitų tinklų, jei norite) LAN tinkle yra namų, įmonių, vyriausybės ir tt tinklų išėjimo taškas. Ar namuose, darbe ar laboratorijoje, teisingas išteklių administravimas atlieka esminį vaidmenį tinkamai vykdant veiklą. Prieiga prie interneto ir žiniatinklio paslaugos yra svarbiausi skaičiavimo išteklių valdymo taškai.
LAN tinklas turi sujungimo tašką, kuriame visi ryšiai yra „nukreipiami“ į kitus tinklus, taigi ir internetu. Paprastai buitiniuose ryšiuose interneto paslaugų teikėjas (IPT) įdiegia įrenginį, kuris veikia kaip tinklo modemas ir maršrutizatorius, leidžiantis visiems LAN kompiuteriams pasiekti interneto paslaugas.
Kas yra maršrutizatorius?„Tai įrenginys, užtikrinantis ryšį ISO / OSI modelio tinklo sluoksnio lygiu. Pagrindinė jo funkcija yra siųsti ar nukreipti duomenų paketus iš vieno tinklo į kitą, tai yra, sujungti potinklius, per potinklį suprasti IP įrenginių, galinčių bendrauti be maršrutizatoriaus (per tiltus), rinkinį, todėl jie turi skirtingą tinklą priešdėliai “.
Tada maršrutizatoriai sujungia tinklus; Pavyzdžiui, jei Bobas yra 10.0.0.0/24 potinklyje, o Alisa - 20.0.0.0/24 potinklyje, kadangi jie priklauso skirtingiems potinkliams, jie negali tiesiogiai bendrauti. Jei maršrutizatorius yra įdiegtas su prieiga prie abiejų potinklių (pavyzdžiui, su 2 tinklo plokštėmis, kiekviena sukonfigūruota kiekviename potinklyje), Bobas gali naudoti maršrutizatorių duomenims siųsti Alisai ir atvirkščiai.

DIDELIS

Kiekvienas kompiuteris tvarko maršruto lentelę, kurioje ji iš esmės nurodo maršrutizatoriaus IP adresą, kuris gali nukreipti jį į IP adresą (tinklą ar pagrindinį kompiuterį). To paties potinklio atveju kiekvienas kompiuteris „žino“, kad gali tiesiogiai bendrauti su kitomis sistemomis pačiame potinklyje (nes jos yra to paties potinklio „kaimynės“ ir joms nereikia maršrutizatorių).
Įprastame LAN šeimininkai sukonfigūruoja IP adresą ir potinklio kaukę, kuri nustato adresų erdvę, su kuria jie gali susisiekti be maršrutizatorių. Jei pagrindiniai kompiuteriai turi prisijungti prie interneto, papildomai sukonfigūruotas numatytasis šliuzas, kuris nurodo maršrutizatoriaus, naudojamo prieigai prie interneto, IP adresą.
Taip pat svarbi vardų serverių arba DNS konfigūracija, tačiau šiame vadove naudosime interneto DNS, pavyzdžiui, 8.8.8.8 (viešas „Google“ DNS).
Numatytųjų tinklų tinklo šliuzo atveju maršrutizatorius ne tik teikia maršruto parinkimo paslaugas, bet ir maskuoja. Maskavimas yra būtinas, kad paketai būtų siunčiami į internetą su maršrutizatoriaus „wan ip“ adresu, tai yra IP adresu, kurį maršrutizatorius turi interneto tiekėjo potinklyje, kad tarpinės sistemos galėtų nukreipti maršrutizatoriaus kelią. Atgal, nepriklausomai nuo LAN IP adresas, kuris išsiuntė paketą. Tokiu būdu kiekvienas LAN potinklis gali būti sukonfigūruotas bet kokiu adresu, neatsižvelgiant į tai, ar jį naudoja kiti klientai, nes maršrutizatorius prieš siunčiant paketus pakeičia šaltinio IP adresą. Kai paketas „grįžta“ iš interneto, maršrutizatorius naudoja prisijungimo žurnalą ir „žino“, kuriam kompiuteriui paketą pristatyti.
Įprastame LAN tinkle ADSL modemas veikia kaip maršrutizatorius ir numatytasis LAN tinklų sietuvas. Esmė ta, kad viešasis IP adresas yra priskirtas ADSL įrenginiui ir jis suteikia prieigą per konfigūruojamą LAN tinklą (paprastai 192.168.1.0/24 tinklą).
Tas pats ADSL įrenginys paprastai priskiria tinklo konfigūracijas LAN naudojant DHCP, todėl reikia tik sukonfigūruoti kompiuterį, kad jis automatiškai imtųsi konfigūracijos, ir tada viskas veikia.
Priklausomai nuo modemo modelio ir prieigos prie interneto tipo, gali būti, kad modemas veikia tik kaip toks, todėl reikalavimas, kad prie jo prijungtas kompiuteris inicijuotų interneto ryšį (pavyzdžiui, per PPPoE). Kitais atvejais galima „nukreipti“ modemą į modemo maršrutizatoriaus funkciją, sukuriant patį interneto ryšį. Kai kurie teikėjai suteikia tiesioginę prieigą prie viešojo tinklo, nurodydami klientui priskirtą fiksuotą viešąjį IP adresą, numatytąjį šliuzą ir DNS. Tai, kad IP adresas yra viešas, iš esmės lemia, kad bet kuris pasaulio kompiuteris, prijungtas prie interneto (be apribojimų), galės tiesiogiai susisiekti su mumis.
Paprastai taip yra įmonių tinkluose, todėl šis vadovas pateikiamas pagal tokį scenarijų.
Dalyvaujančios sistemosLAN:
Bobas:
MAC adresas: AA: BB: CC: 22: 33: 44
IP adresas: 192.168.1.2/24 (galima priskirti per DHCP)
OS: „Windows XP“
Tinklo šliuzas (DNS + DHCP):
MAC adresas (LAN): AA: BB: CC: 44: 55: 66
LAN IP adresas: 192.168.1.1/24
WAN IP adresas: 200.51.2.1/30
Numatytasis kelias naudojant 200.51.2.2/30
OS: GNU / Linux Ubuntu
INTERNETAS:
Interneto maršrutizatorius:
IP1 adresas: 200.51.2.2/30
IP2 adresas: 180.0.0.2/16
…
OS: GNU / Linux Ubuntu 14.04
Alisa (žiniatinklio serveris):
IP adresas: 180.0.0.1/16

DIDELIS

Grafike sistemos, esančios dešinėje nuo interneto debesies, yra sistemos, prijungtos prie viešojo tinklo. Bobas yra LAN, o maršrutizatorius, veikiantis kaip numatytasis šliuzas (arba Bobo LAN numatytasis šliuzas), yra sistema, į kurią mes sutelksime dėmesį.
Pastarasis turi teikti DHCP paslaugas Bobo LAN ir šliuzo paslaugą (maršrutizatorius su maskuotu).
1) Pirmiausia maršrutizatoriaus tinklo sąsajos turi būti sukonfigūruotos taip, kad jis turėtų ryšį LAN (192.168.1.1/24) ir internete (WAN, 200.51.2.1/30); Norėdami tai padaryti, redaguokite tinklo konfigūracijos failą:

 # vim / etc / network / interfaces 

2) Darant prielaidą, kad eth0 yra LAN sąsaja, o eth1 - WAN sąsaja, nustatymus nustatykite taip:

Atminkite, kad pradžioje buvo nurodyta, kad tinklo sąsajos turi automatiškai pakilti kartu su kilpos sąsaja, naudojant „auto“ direktyvą
Tada kiekvienai sąsajai, LAN arba eth0 ir WAN arba eth1, tinklo konfigūracija buvo nurodyta statiškai.
Šiuo atveju manome, kad Bobo IPT arba IPT jam paskyrė viešąjį IP adresą ir pataiso 200.51.2.1/30, o jo vartai yra 200.51.2.2.
3) Konfigūruokite šliuzo pavadinimą redaguodami failus „ / etc / hostname“ ir „ / etc / hosts“
Pakeiskite šiuo metu atrodantį pavadinimą, atsargiai įtraukdami tą patį į abu. Šiai pamokai pavadinimu pasirinkau „Vartai“.
Vykdyti:

 # vim / etc / hostname 

Įveskite naują pavadinimą:

Tada paleiskite terminale:

 # vim / etc / hosts 

Ir nurodykite maršrutizatoriaus pavadinimą, kaip parodyta žemiau:

4) Paketų persiuntimo funkcija turi būti įjungta mūsų konfigūruojamame šliuze, kad jis veiktų kaip maršrutizatorius. Vykdyti „Gateway“ terminale:

 # vim /etc/sysctl.conf 

5) Tada panaikinkite eilutės komentarą "net.ipv4.ip_forward = 1“Ir paleiskite iš naujo (dėl bandymo priežasčių)

Norėdami patikrinti konfigūraciją, paleiskite terminale:

 # cat / proc / sys / net / ipv4 / ip_forward 

Jei išvestis yra „1“, tai reiškia, kad paketų persiuntimo funkcija yra įjungta:

6) Kai sistema sukonfigūruota kaip maršrutizatorius, pridėkite maskavimo funkciją. Su iptables Galima nurodyti, kad siunčiami srautai iš LAN į bet kurį tinklą (internetą) yra užmaskuoti naudojant šiuos vartus.
Vykdykite šią komandą:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

Tai sukuria failą „/etc/reglas-fw.sh“. Dabar suteikite vykdymo leidimus:

 # chmod + x /etc/init.d/rules-fw.sh 

Tada su update-rc.d nurodykite vykdyti taisykles-fw.sh paleidžiant:

 # update-rc.d rules-fw.sh start 90 2 3 4 5. 

Galiausiai paleiskite iš naujo ir patikrinkite, ar taisyklė buvo pritaikyta. Norėdami tai padaryti, paleiskite iš naujo, atlikite šiuos veiksmus:

 # iptables -t nat -L -n 

Išvestyje turėtų būti rodomos taikomos taisyklės, kuriose turėtų būti užmaskuota:

7) Kad maršrutizatorius galėtų priskirti tinklo parametrus prieglobai LAN, įdiekite DHCP serverį naudodami šią komandą:

 # apt-get install isc-dhcp-server 

8 ) Konfigūruokite DHCP paslaugą, kad ji naudotų tik LAN tinklo sąsają (mes nenorime platinti IP į internetą!). Norėdami tai padaryti, redaguokite konfigūracijos failą:

 # vim / etc / default / isc-dhcp-server 

Nurodykite lan sąsają:

9) Redaguokite DHCP serverio konfigūracijos failą, kad nustatytumėte IP adresų telkinį, šliuzą ir kt. Vykdyti terminale:

 # vim /etc/dhcp/dhcpd.conf 

Įveskite potinklio konfigūraciją, priskirtiną DNS ir šliuzą. Bobo šeimininkui privertėme visada priskirti 192.168.1.2 IP adresą:

 potinklis 192.168.1.0 tinklo kaukė 255.255.255.0 {parinkties maršrutizatoriai 192.168.1.1; galimybė domeno vardų serveriai 8.8.8.8; parinktis domeno vardas "lan"; autoritetingas; } šeimininkas Bobas {aparatinis eternetas AA: BB: CC: 22: 33: 44; fiksuoto adreso 192.168.1.2; } 

Iš naujo paleiskite paslaugą:

 # /etc/init.d/isc-dhcp-server iš naujo 

Patikrinkite sistemos sistemos žurnale, ar kuris nors klientas prašo priskirti IP:
DIDELIS

Kaip matyti iš DHCP Spoofing Simple vadovėlio, IP priskyrimas per DHCP priskiria Bobui adresą, kurį nurodėme su jo MAC adresu.

10) Jei viskas teisingai nustatyta, Bobas gali įvesti Alisos pingą:

12) Galiausiai Bobas pasiekia Alisos svetainę:

Svarbu pažymėti, kad nors šis vadovas yra pagrįstas paprastu scenarijumi, konfigūravimo komandos ir metodai skirtinguose scenarijuose nesiskiria, nes komponentai ir programinė įranga yra vienodi. Yra Linux platinimų, specialiai paruoštų veikti kaip maršrutizatorius LAN, pvz., OpenWRT, DD-WRT ir Pfsense (freeBSD). Šie paskirstymai suteikia patogią konfigūracijos sąsają ir nereikalauja rankiniu būdu įvestų komandų terminaluose. Tai paprastas pasiūlymas sukurti Gateway, pagrįstą GNU / Linux, be konfigūracijos vedlių pagalbos, tai yra „visiškai rankiniu būdu“.
Vėlesniuose vadovėliuose prie šio vadovo bus pridėta galimybė sukonfigūruoti vietinį DNS, visą užkardą ir tarpinio serverio paslaugą, kad būtų galima valdyti prieigą prie interneto, todėl būkite atsargūs.Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką