Konfigurer en GNU / Linux-baseret router

Adgang til internettet (eller andre netværk, hvis du vil) i et LAN er udgangsstedet for hjem-, virksomheds-, regerings- osv. Netværk. Uanset om det er hjemme, på arbejdet eller i et laboratorium, spiller den korrekte administration af ressourcer en grundlæggende rolle i den korrekte udførelse af aktiviteter. Internetadgang og webbaserede tjenester repræsenterer kritiske punkter i forvaltningen af ​​computerressourcer.
Et LAN -netværk har et sammenkoblingspunkt, hvor al kommunikation "dirigeres" til andre netværk og dermed via internettet. Normalt i hjemmeforbindelser installerer internetudbyderen (ISP) en enhed, der fungerer som et modem og en router til netværket, så alle computere på LAN kan få adgang til internettjenester.
Hvad er en router?“Det er en enhed, der giver forbindelse på netværkslagsniveauet i ISO / OSI -modellen. Dets hovedfunktion er at sende eller dirigere datapakker fra et netværk til et andet, det vil sige at forbinde delnet, forstå et subnet af et sæt IP -maskiner, der kan kommunikere uden indgriben fra en router (gennem broer), og derfor har de forskellige netværk præfikser. "
Routerne forbinder derefter netværk; for eksempel hvis Bob er i subnet 10.0.0.0/24 og Alice er i subnet 20.0.0.0/24, da de tilhører forskellige undernet, kan de ikke kommunikere direkte. Hvis en router er installeret med adgang til begge undernet (f.eks. Med 2 netværkskort, der hver er konfigureret på hvert undernet), kunne Bob bruge routeren til at sende data til Alice og omvendt.

FORSTØRRE

Hver vært opretholder en routingstabel, hvor den dybest set peger på routerens IP -adresse, der kan dirigere den til en IP -adresse (netværk eller vært). I tilfælde af det samme subnet "ved" hver vært, at den kan kommunikere direkte med andre systemer på selve subnet (fordi de er "naboer" på det samme subnet og ikke har brug for routere til at kommunikere).
I et typisk LAN konfigurerer værter en IP -adresse og en undernetmaske, der bestemmer det adresserum, de kan kontakte uden behov for routere. Hvis værterne skal have adgang til internettet, konfigureres der også en standardgateway, som angiver IP -adressen på den router, der bruges til internetadgang.
Konfigurationen af ​​navneservere eller DNS er også vigtig, men til denne vejledning vil vi bruge internet -DNS, f.eks. 8.8.8.8 (Googles offentlige DNS).
I tilfælde af standardgateway på et LAN leverer routeren ikke kun routingtjenester, men også maskering. Maskering er nødvendig, så pakker sendes til internettet med routerens wan ip -adresse, det vil sige den ip, som routeren har i internetudbyderens subnet, så mellemledssystemer kan dirigere routerens vej. Tilbage uanset LAN IP -adresse, der sendte pakken. På denne måde kan hvert LAN -subnet konfigureres med en hvilken som helst adresse, uanset om andre klienter bruger den, da routeren ændrer kilde -IP -adressen med sin egen, før pakkerne sendes. Når en pakke "kommer tilbage" fra internettet, bruger routeren en forbindelseslog og "ved", hvilken vært pakken skal leveres til.
I et typisk LAN fungerer ADSL -modemet som en router og standardgateway for LAN. Pointen er, at den offentlige IP -adresse er tildelt ADSL -enheden, og den giver adgang via det konfigurerbare LAN -netværk (normalt et 192.168.1.0/24 netværk).
Den samme ADSL -enhed tildeler normalt netværkskonfigurationer til LAN ved hjælp af DHCP, så det er kun nødvendigt at konfigurere computeren til at tage en konfiguration automatisk, og derefter fungerer alt.
Afhængigt af modemmodellen og typen af ​​internetadgang er det muligt, at modemet kun fungerer som sådan, idet det er et krav, at værten, der er forbundet til det, starter internetforbindelsen (f.eks. Via PPPoE). I andre tilfælde er det muligt at "rute" modemet til at fungere som et modem-router og etablere selve internetforbindelsen. Nogle udbydere giver direkte adgang til det offentlige netværk, hvilket angiver klienten den faste offentlige IP -adresse, der er blevet tildelt, standardgateway og DNS. At IP -adressen er offentlig, afgør grundlæggende, at enhver vært i verden, der er forbundet til internettet (uden begrænsninger), vil kunne kontakte os direkte.
Dette er normalt tilfældet for virksomhedsnetværk, og derfor præsenteres denne vejledning under et sådant scenario.
Systemer involveretLAN:
Bob:
MAC -adresse: AA: BB: CC: 22: 33: 44
IP -adresse: 192.168.1.2/24 (kan tildeles via DHCP)
Styresystem: Windows XP
Netværksgateway (DNS + DHCP):
MAC -adresse (LAN): AA: BB: CC: 44: 55: 66
LAN IP -adresse: 192.168.1.1/24
WAN IP -adresse: 200.51.2.1/30
Standardsti ved hjælp af 200.51.2.2/30
OS: GNU / Linux Ubuntu
INTERNET:
Internet router:
IP1 -adresse: 200.51.2.2/30
IP2 -adresse: 180.0.0.2/16
…
OS: GNU / Linux Ubuntu 14.04
Alice (webserver):
IP -adresse: 180.0.0.1/16

FORSTØRRE

I grafen er systemerne til højre for internetskyen systemer, der er forbundet til det offentlige netværk. Bob er på et LAN, og routeren, der fungerer som standardgateway (eller Bobs LAN Default Gateway), er det system, vi vil fokusere på.
Sidstnævnte skal levere DHCP -tjenester til Bobs LAN og en gateway -service (router med maskerade).
1) I første omgang skal routerens netværksgrænseflader konfigureres, så den har en forbindelse på LAN (192.168.1.1/24) og på Internettet (WAN, 200.51.2.1/30); For at gøre dette skal du redigere netværkskonfigurationsfilen:

 # vim / etc / network / interfaces 

2) Hvis vi antager, at eth0 er LAN -grænsefladen, og eth1 er WAN -grænsefladen, skal du angive indstillingerne som følger:

Bemærk, at det blev angivet i begyndelsen, at netværksgrænsefladerne automatisk skulle løfte sig med loopback -grænsefladen ved hjælp af "auto" -direktivet
For hver grænseflade, LAN eller eth0 og WAN eller eth1, er netværkskonfigurationen blevet specificeret statisk.
I dette tilfælde antager vi, at Bobs internetudbyder eller internetudbyder har tildelt ham den offentlige IP -adresse og retter 200.51.2.1/30, og hans gateway er 200.51.2.2.
3) Konfigurer navnet på Gateway ved at redigere filerne " / etc / hostname" og " / etc / hosts"
Erstat navnet, der i øjeblikket ser ud, og vær omhyggelig med at sætte det samme i begge. Til denne vejledning har jeg valgt "Gateway" som navn.
Løb:

 # vim / etc / hostname 

Indsæt det nye navn:

Kør derefter i terminal:

 # vim / etc / hosts 

Og angiv routerens navn som vist herunder:

4) Pakkeoverførselsfunktionen skal aktiveres i den gateway, vi konfigurerer, så den fungerer som en router. Udfør i en Gateway -terminal:

 # vim /etc/sysctl.conf 

5) Så kommenter linjen "net.ipv4.ip_forward = 1”Og genstart (af testårsager)

Kør i terminalen for at teste konfigurationen:

 # cat / proc / sys / net / ipv4 / ip_forward 

Hvis udgangen er "1" betyder det, at pakkevideresendelsesfunktionen er aktiveret:

6) Når systemet er konfigureret som en router, skal du tilføje maskeringsfunktionalitet. Med iptables Det er muligt at angive, at den udgående trafik fra LAN til ethvert netværk (internet) er maskeret af denne gateway.
Kør følgende kommando:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

Dette genererer filen "/etc/reglas-fw.sh". Giv nu udførelsesrettigheder:

 # chmod + x /etc/init.d/rules-fw.sh 

Angiv derefter med update-rc.d at udføre regler-fw.sh ved opstart:

 # update-rc.d regler-fw.sh start 90 2 3 4 5. 

Endelig genstart og test, om reglen er blevet anvendt. For at gøre dette skal du efter genstart udføre:

 # iptables -t nat -L -n 

Og output skal vise de anvendte regler, hvor maskeringen skal vises:

7) For at routeren kan tildele netværksindstillinger til værterne på LAN, skal du installere en DHCP -server med følgende kommando:

 # apt-get install isc-dhcp-server 

8 ) Konfigurer DHCP -tjenesten, så den kun bruger LAN -netværksgrænsefladen (vi ønsker ikke at distribuere IP'er til internettet!). Rediger konfigurationsfilen for at gøre dette:

 # vim / etc / default / isc-dhcp-server 

Angiv lan -grænsefladen:

9) Rediger DHCP -serverens konfigurationsfil for at bestemme puljen af ​​IP -adresser, den gateway, der skal tildeles osv. Kør på en terminering:

 # vim /etc/dhcp/dhcpd.conf 

Indtast subnetkonfigurationen, dns, der skal tildeles, og gatewayen. For Bobs vært har vi tvunget tildeling af IP -adressen 192.168.1.2 altid:

 subnet 192.168.1.0 netmask 255.255.255.0 {option routers 192.168.1.1; option domænenavneservere 8.8.8.8; option domænenavn "lan"; autoritativ; } vært Bob {hardware ethernet AA: BB: CC: 22: 33: 44; fast adresse 192.168.1.2; } 

Genstart tjenesten:

 # /etc/init.d/isc-dhcp-server genstart 

Tjek i systemets syslog, hvis en klient anmoder om IP -tildeling:
FORSTØRRE

Som det ses i DHCP Spoofing Simple tutorial, tildeler IP -tildeling via DHCP Bob den adresse, vi har angivet med hans MAC -adresse.

10) Hvis alt er konfigureret korrekt, kan Bob pinge Alice:

12) Endelig får Bob adgang til Alices websted:

Det er vigtigt at bemærke, at selvom denne vejledning er baseret på et simpelt scenario, varierer konfigurationskommandoer og metoder ikke fra scenario til scenario, da de involverede komponenter og software er de samme. Der er Linux-distributioner specielt forberedt til at fungere som en router på et LAN, såsom OpenWRT, DD-WRT og Pfsense (freeBSD). Disse distributioner giver en venlig konfigurationsgrænseflade og kræver ikke manuelt indtastede kommandoer på terminalerne. Dette er et simpelt forslag om at oprette vores egen Gateway baseret på GNU / Linux uden hjælp fra konfigurationsguider, det vil sige "lavet helt i hånden".
I senere selvstudier tilføjes muligheden for at konfigurere en lokal DNS, en komplet firewall og proxy -tjenesten til denne vejledning for at administrere internetadgang, så vær forsigtig.Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt