Konfigurer en GNU / Linux-basert ruter

Tilgang til Internett (eller andre nettverk hvis du vil) i et LAN er utgangspunktet for hjemmenettverk, bedrifter, myndigheter osv. Nettverk. Uansett om det er hjemme, på jobben eller i et laboratorium, spiller riktig administrering av ressurser en grunnleggende rolle for riktig utførelse av aktiviteter. Internett-tilgang og nettbaserte tjenester representerer kritiske punkter i forvaltningen av databehandlingsressurser.
Et LAN -nettverk har et sammenkoblingspunkt hvor all kommunikasjon "dirigeres" til andre nettverk, og dermed gjennom internett. Vanligvis i innenlandske tilkoblinger installerer Internett -leverandøren (ISP) en enhet som fungerer som et modem og en ruter for nettverket, slik at alle datamaskiner på LAN kan få tilgang til Internett -tjenester.
Hva er en ruter?“Det er en enhet som gir tilkobling på nettverkslagnivået til ISO / OSI -modellen. Hovedfunksjonen er å sende eller rute datapakker fra ett nettverk til et annet, det vil si å koble sammen delnett, forstå et sub -nett med et sett med IP -maskiner som kan kommunisere uten inngrep fra en ruter (gjennom broer), og derfor har de forskjellige nettverk prefikser. "
Ruterne kobler deretter sammen nettverk; for eksempel hvis Bob er i delnett 10.0.0.0/24 og Alice er i delnett 20.0.0.0/24, siden de tilhører forskjellige delnett, kan de ikke kommunisere direkte. Hvis en ruter er installert med tilgang til begge delnettene (for eksempel med 2 nettverkskort, hver konfigurert på hvert delnett), kan Bob bruke ruteren til å sende data til Alice og omvendt.

FORSTØRRE

Hver vert opprettholder en rutingtabell, der den i utgangspunktet peker på IP -adressen til ruteren som kan dirigere den til en IP -adresse (nettverk eller vert). Når det gjelder det samme delnettet, vet hver vert at den kan kommunisere direkte med andre systemer på selve delnettet (fordi de er "naboer" på samme delnett og ikke trenger rutere for å kommunisere).
I et typisk LAN konfigurerer verter en IP -adresse og en nettverksmaske som bestemmer adresseplassen de kan kontakte uten behov for rutere. Hvis vertene må få tilgang til Internett, er det i tillegg konfigurert en standard gateway, som angir IP -adressen til ruteren som brukes for Internett -tilgang.
Konfigurasjonen av navneservere eller DNS er også viktig, men for denne veiledningen vil vi bruke Internett -DNS, for eksempel 8.8.8.8 (Googles offentlige DNS).
Når det gjelder standard gateway på et LAN, tilbyr ruteren ikke bare rutingstjenester, men også maskering. Maskering er nødvendig slik at pakker sendes til internett med ruteren wan ip -adresse, det vil si ip som ruteren har i internettleverandørens delnett, slik at mellommannssystemer kan rute banen til ruteren. Tilbake uansett LAN IP -adresse som sendte pakken. På denne måten kan hvert LAN -undernett konfigureres med hvilken som helst adresse, uavhengig av om andre klienter bruker den, siden ruteren endrer kilde -IP -adressen med sin egen før pakken sendes. Når en pakke "kommer tilbake" fra internett, bruker ruteren en tilkoblingslogg og "vet" hvilken vert pakken skal leveres til.
I et typisk LAN fungerer ADSL -modemet som en ruter og standard gateway for LAN. Poenget er at den offentlige IP -adressen er tilordnet ADSL -enheten, og den gir tilgang via det konfigurerbare LAN -nettverket (vanligvis et 192.168.1.0/24 nettverk).
Den samme ADSL -enheten tilordner normalt nettverkskonfigurasjoner til LAN ved hjelp av DHCP, så det er bare nødvendig å konfigurere datamaskinen til å ta en konfigurasjon automatisk, og deretter fungerer alt.
Avhengig av modemmodellen og typen Internett -tilgang, er det mulig at modemet bare fungerer som sådan, et krav om at verten som er koblet til det, starter Internett -tilkoblingen (for eksempel gjennom PPPoE). I andre tilfeller er det mulig å "rute" modemet til å fungere som et modem-ruter, og etablere selve internettforbindelsen. Noen tilbydere gir direkte tilgang til det offentlige nettverket, og angir klienten den faste offentlige IP -adressen som er tildelt, standard gateway og DNS. At IP -adressen er offentlig, bestemmer i utgangspunktet at enhver vert i verden som er koblet til internett (uten begrensninger) vil kunne kontakte oss direkte.
Dette er vanligvis tilfellet for bedriftsnettverk, og det er derfor denne veiledningen presenteres under et slikt scenario.
Systemer involvertLAN:
Bob:
MAC -adresse: AA: BB: CC: 22: 33: 44
IP -adresse: 192.168.1.2/24 (kan tilordnes via DHCP)
Operativsystem: Windows XP
Nettverksgateway (DNS + DHCP):
MAC -adresse (LAN): AA: BB: CC: 44: 55: 66
LAN IP -adresse: 192.168.1.1/24
WAN IP -adresse: 200.51.2.1/30
Standardbane ved hjelp av 200.51.2.2/30
Operativsystem: GNU / Linux Ubuntu
INTERNETT:
Internett -ruter:
IP1 -adresse: 200.51.2.2/30
IP2 -adresse: 180.0.0.2/16
…
Operativsystem: GNU / Linux Ubuntu 14.04
Alice (webserver):
IP -adresse: 180.0.0.1/16

FORSTØRRE

I grafen er systemene til høyre for internettskyen systemer koblet til det offentlige nettverket. Bob er på et LAN, og ruteren som fungerer som standard gateway (eller Bobs LAN standard gateway) er systemet vi vil fokusere på.
Sistnevnte må tilby DHCP -tjenester til Bobs LAN og en gatewaytjeneste (ruter med maskerade).
1) I første omgang må ruterens nettverksgrensesnitt konfigureres, slik at den har en tilkobling på LAN (192.168.1.1/24) og på Internett (WAN, 200.51.2.1/30); For å gjøre dette, rediger nettverkskonfigurasjonsfilen:

 # vim / etc / network / interfaces 

2) Forutsatt at eth0 er LAN -grensesnittet og eth1 er WAN -grensesnittet, spesifiser innstillingene som følger:

Vær oppmerksom på at det i begynnelsen ble indikert at nettverksgrensesnittene automatisk skulle løfte seg med loopback -grensesnittet, ved hjelp av "auto" -direktivet
For hvert grensesnitt, LAN eller eth0 og WAN eller eth1, er nettverkskonfigurasjonen spesifisert statisk.
I dette tilfellet antar vi at Bobs ISP eller ISP har tildelt ham den offentlige IP -adressen og fikser 200.51.2.1/30 og at gatewayen er 200.51.2.2.
3) Konfigurer navnet på Gateway ved å redigere filene " / etc / hostname" og " / etc / hosts"
Erstatt navnet som for øyeblikket ser ut, og vær forsiktig med å sette det samme i begge. For denne opplæringen har jeg valgt "Gateway" som navn.
Løpe:

 # vim / etc / hostname 

Sett inn det nye navnet:

Kjør deretter i terminalen:

 # vim / etc / hosts 

Og spesifiser navnet på ruteren som vist nedenfor:

4) Pakkeoverføringsfunksjonaliteten må aktiveres i Gateway som vi konfigurerer, slik at den fungerer som en ruter. Utfør i en Gateway -terminal:

 # vim /etc/sysctl.conf 

5) Så kommenter linjen "net.ipv4.ip_forward = 1”Og start på nytt (av testhensyn)

For å teste konfigurasjonen, kjør i terminalen:

 # cat / proc / sys / net / ipv4 / ip_forward 

Hvis utgangen er "1" betyr det at pakkeoverføringsfunksjonen er aktivert:

6) Når systemet er konfigurert som en ruter, legger du til maskeringsfunksjonalitet. Med iptables Det er mulig å indikere at den utgående trafikken fra LAN til et hvilket som helst nettverk (internett) er maskert av denne gatewayen.
Kjør følgende kommando:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

Dette genererer filen "/etc/reglas-fw.sh". Gi nå kjøringstillatelser:

 # chmod + x /etc/init.d/rules-fw.sh 

Indiker deretter med update-rc.d for å utføre regler-fw.sh ved oppstart:

 # update-rc.d regler-fw.sh start 90 2 3 4 5. 

Endelig start på nytt og test om regelen er brukt. For å gjøre dette, utfør følgende etter omstart:

 # iptables -t nat -L -n 

Og utgangen skal vise de anvendte reglene, der maskeringen skal vises:

7) For at ruteren skal tilordne nettverksinnstillinger til vertene på LAN, må du installere en DHCP -server med følgende kommando:

 # apt-get install isc-dhcp-server 

8 ) Konfigurer DHCP -tjenesten slik at den bare bruker LAN -nettverksgrensesnittet (vi ønsker ikke å distribuere IP -er til Internett!). For å gjøre dette, rediger konfigurasjonsfilen:

 # vim / etc / default / isc-dhcp-server 

Spesifiser lan -grensesnittet:

9) Rediger DHCP -serverens konfigurasjonsfil for å bestemme bassenget med IP -adresser, gatewayen som skal tilordnes, etc. Kjør på en avslutning:

 # vim /etc/dhcp/dhcpd.conf 

Angi delnettkonfigurasjonen, dns som skal tilordnes og gatewayen. For Bobs vert har vi tvunget å tildele IP -adressen 192.168.1.2 alltid:

 delnett 192.168.1.0 nettmaske 255.255.255.0 {alternativrutere 192.168.1.1; opsjon domenenavn-servere 8.8.8.8; alternativ domenenavn "lan"; autoritær; } vert Bob {hardware ethernet AA: BB: CC: 22: 33: 44; fast adresse 192.168.1.2; } 

Start tjenesten på nytt:

 # /etc/init.d/isc-dhcp-server start på nytt 

Sjekk i systemsloggen hvis en klient ber om IP -tildeling:
FORSTØRRE

Som vist i DHCP Spoofing Simple tutorial, tildeler IP -tildeling via DHCP Bob adressen vi spesifiserte med MAC -adressen hans.

10) Hvis alt er satt opp riktig, kan Bob pinge Alice:

12) Til slutt får Bob tilgang til Alices nettsted:

Det er viktig å merke seg at selv om denne veiledningen er basert på et enkelt scenario, varierer konfigurasjonskommandoene og metodene ikke fra scenario til scenario siden komponentene og programvaren som er involvert er de samme. Det er Linux-distribusjoner som er spesielt forberedt på å fungere som en ruter på et LAN, for eksempel OpenWRT, DD-WRT og Pfsense (freeBSD). Disse distribusjonene gir et vennlig konfigurasjonsgrensesnitt og krever ikke manuelt angitte kommandoer på terminalene. Dette er et enkelt forslag om å sette opp vår egen Gateway basert på GNU / Linux uten hjelp av konfigurasjonsveivisere, det vil si "laget helt for hånd".
I senere opplæringsprogrammer vil muligheten til å konfigurere en lokal DNS, en komplett brannmur og proxy -tjenesten bli lagt til i denne veiledningen for å administrere Internett -tilgang, så vær forsiktig.Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng