Configurați un router bazat pe GNU / Linux

Accesul la Internet (sau la alte rețele, dacă doriți) într-o rețea LAN este punctul de ieșire pentru rețelele de domiciliu, corporative, guvernamentale etc. Fie că este acasă, la serviciu sau în laborator, administrarea corectă a resurselor joacă un rol fundamental în buna desfășurare a activităților. Accesul la internet și serviciile bazate pe web reprezintă puncte critice în gestionarea resurselor de calcul.
O rețea LAN are un punct de interconectare în care toate comunicațiile sunt „direcționate” către alte rețele și, prin urmare, prin internet. În mod normal, în conexiunile interne, furnizorul de servicii Internet (ISP) instalează un dispozitiv care acționează ca modem și router pentru rețea, permițând tuturor computerelor de pe LAN să acceseze serviciile Internet.
Ce este un router?„Este un dispozitiv care oferă conectivitate la nivelul stratului de rețea al modelului ISO / OSI. Funcția sa principală este să trimită sau să direcționeze pachete de date dintr-o rețea în alta, adică să interconecteze subrețele, înțelegând prin subrețea un set de mașini IP care pot comunica fără intervenția unui router (prin poduri) și, prin urmare, au rețea diferită prefixe. "
Ruterele interconectează apoi rețelele; de exemplu, dacă Bob se află în subrețeaua 10.0.0.0/24 și Alice se află în subrețeaua 20.0.0.0/24, deoarece aparțin unor subrețele diferite, nu pot comunica direct. Dacă este instalat un router cu acces la ambele subrețele (de exemplu cu 2 plăci de rețea, fiecare configurat pe fiecare subrețea) Bob ar putea folosi routerul pentru a trimite date către Alice și invers.

MARI

Fiecare gazdă menține o tabelă de rutare, în care indică practic adresa IP a routerului care o poate direcționa către o adresă IP (rețea sau gazdă). În cazul aceleiași subrețele, fiecare gazdă „știe” că poate comunica direct cu alte sisteme de pe subrețea însăși (deoarece sunt „vecini” pe aceeași subrețea și nu au nevoie de routere pentru a comunica).
Într-o rețea LAN tipică, gazdele configurează o adresă IP și o mască de subrețea care determină spațiul de adresă pe care îl pot contacta fără a fi nevoie de routere. Dacă gazdele trebuie să acceseze Internetul, este configurat suplimentar un gateway implicit, care indică adresa IP a routerului care este utilizat pentru accesul la Internet.
Configurarea serverelor de nume sau DNS este de asemenea importantă, dar pentru acest ghid vom folosi DNS Internet, de exemplu 8.8.8.8 (DNS public Google).
Pentru cazul gateway-ului implicit pe o rețea LAN, routerul oferă nu numai servicii de rutare, ci și mascare. Mascherarea este necesară pentru ca pachetele să fie trimise pe internet cu adresa IP WAN a routerului, adică IP-ul pe care routerul îl are în subrețeaua furnizorului de internet, astfel încât sistemele intermediare să poată direcționa calea routerului. Înapoi indiferent de LAN Adresa IP care a trimis pachetul. În acest fel, fiecare subrețea LAN poate fi configurată cu orice adresă, indiferent dacă alți clienți o folosesc, deoarece routerul modifică adresa IP sursă cu propria sa înainte de a trimite pachetele. Când un pachet „revine” de pe internet, routerul folosește un jurnal de conexiuni și „știe” către ce gazdă să livreze pachetul.
Într-o rețea LAN tipică, modemul ADSL acționează ca un router și gateway implicit pentru rețeaua LAN. Ideea este că adresa IP publică este atribuită dispozitivului ADSL și oferă acces prin rețeaua LAN configurabilă (de obicei o rețea 192.168.1.0/24).
Același dispozitiv ADSL atribuie în mod normal configurații de rețea LAN folosind DHCP, deci este necesar doar să configurați computerul pentru a prelua automat o configurație și apoi totul funcționează.
În funcție de modelul modemului și de tipul de acces la internet, este posibil ca modemul să acționeze doar ca atare, fiind o cerință ca gazda conectată la acesta să inițieze conexiunea la internet (de exemplu prin PPPoE). În alte cazuri, este posibil să „direcționați” Modemul pentru a acționa ca un Modem-Router, stabilind însăși conexiunea la Internet. Unii furnizori oferă acces direct la rețeaua publică, indicând clientului adresa IP publică fixă ​​care a fost atribuită, gateway-ul implicit și DNS. Faptul că adresa IP este publică, determină practic că orice gazdă din lume conectată la internet (fără restricții) ne va putea contacta direct.
Acesta este de obicei cazul rețelelor corporative și de aceea acest ghid este prezentat într-un astfel de scenariu.
Sisteme implicateLAN:
Bob:
Adresa MAC: AA: BB: CC: 22: 33: 44
Adresă IP: 192.168.1.2/24 (Atribuibil prin DHCP)
Sistem de operare: Windows XP
Gateway de rețea (DNS + DHCP):
Adresă MAC (LAN): AA: BB: CC: 44: 55: 66
Adresa IP LAN: 192.168.1.1/24
Adresă IP WAN: 200.51.2.1/30
Calea implicită folosind 200.51.2.2/30
SO: GNU / Linux Ubuntu
INTERNET:
Ruter Internet:
Adresa IP1: 200.51.2.2/30
Adresa IP2: 180.0.0.2/16
…
SO: GNU / Linux Ubuntu 14.04
Alice (server web):
Adresa IP: 180.0.0.1/16

MARI

În grafic, sistemele din dreapta norului de internet sunt sisteme conectate la rețeaua publică. Bob este pe o rețea LAN, iar routerul care acționează ca gateway implicit (sau Gateway implicit LAN al lui Bob) este sistemul pe care ne vom concentra.
Acesta din urmă trebuie să furnizeze servicii DHCP către rețeaua LAN a lui Bob și un serviciu de gateway (router cu mascaradă).
1) În primă instanță, interfețele de rețea ale routerului trebuie configurate, astfel încât să aibă o conexiune pe LAN (192.168.1.1/24) și pe Internet (WAN, 200.51.2.1/30); Pentru aceasta, editați fișierul de configurare a rețelei:

 # vim / etc / network / interfaces 

2) Presupunând că eth0 este interfața LAN și eth1 este interfața WAN, specificați setările după cum urmează:

Rețineți că a fost indicat la început că interfețele de rețea ar trebui să se ridice automat cu interfața loopback, prin intermediul directivei „auto”
Apoi pentru fiecare interfață, LAN sau eth0 și WAN sau eth1, configurația rețelei a fost specificată static.
Pentru acest caz, presupunem că ISP-ul sau ISP-ul lui Bob i-a atribuit adresa IP publică și remediază 200.51.2.1/30 și gateway-ul său este 200.51.2.2.
3) Configurați numele Gateway-ului editând fișierele „/ etc / hostname” și „/ etc / hosts”
Înlocuiți numele care apare în prezent, având grijă să puneți același lucru în ambele. Pentru acest tutorial am selectat „Gateway” ca nume.
Alerga:

 # vim / etc / hostname 

Introduceți noul nume:

Apoi rulați în terminal:

 # vim / etc / hosts 

Și specificați numele routerului așa cum se arată mai jos:

4) Funcționalitatea de redirecționare a pachetelor trebuie activată în Gateway-ul pe care îl configurăm, astfel încât să acționeze ca un router. Executați într-un terminal Gateway:

 # vim /etc/sysctl.conf 

5) Apoi decomentați linia "net.ipv4.ip_forward = 1”Și reporniți (din motive de testare)

Pentru a testa configurația, rulați în terminal:

 # cat / proc / sys / net / ipv4 / ip_forward 

Dacă ieșirea este „1” înseamnă că funcția de redirecționare a pachetelor este activată:

6) Odată ce sistemul este configurat ca un router, adăugați funcționalitate de mascare. Cu iptables Este posibil să se indice că traficul de ieșire din LAN către orice rețea (internet) este mascat de acest Gateway.
Rulați următoarea comandă:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

Aceasta generează fișierul „/etc/reglas-fw.sh”. Acum acordați permisiunile de executare:

 # chmod + x /etc/init.d/rules-fw.sh 

Apoi cu update-rc.d indicați executarea regulilor-fw.sh la pornire:

 # update-rc.d rules-fw.sh start 90 2 3 4 5. 

În cele din urmă, reporniți și testați dacă regula a fost aplicată. Pentru a face acest lucru, după repornire, executați:

 # iptables -t nat -L -n 

Iar ieșirea trebuie să arate regulile aplicate, în care ar trebui să apară cea de mascare:

7) Pentru ca routerul să atribuie setări de rețea gazdelor de pe LAN, instalați un server DHCP cu următoarea comandă:

 # apt-get install isc-dhcp-server 

8 ) Configurați serviciul DHCP astfel încât să utilizeze doar interfața de rețea LAN (nu dorim să distribuim IP-uri pe Internet!). Pentru aceasta, editați fișierul de configurare:

 # vim / etc / default / isc-dhcp-server 

Specificați interfața lan:

9) Editați fișierul de configurare a serverului DHCP pentru a determina grupul de adrese IP, gateway-ul de atribuit etc. Rulați pe un terminal:

 # vim /etc/dhcp/dhcpd.conf 

Introduceți configurația subrețele, DNS-urile de atribuit și gateway-ul. Pentru gazda lui Bob am forțat să se atribuie întotdeauna adresa IP 192.168.1.2:

 subrețea 192.168.1.0 netmask 255.255.255.0 {routere cu opțiuni 192.168.1.1; opțiune nume-domeniu-servere 8.8.8.8; opțiune nume de domeniu "lan"; autoritar; } gazdă Bob {hardware ethernet AA: BB: CC: 22: 33: 44; adresa fixă ​​192.168.1.2; } 

Reporniți serviciul:

 # /etc/init.d/isc-dhcp-server reporniți 

Verificați în syslog-ul sistemului dacă vreun client solicită alocarea IP:
MARI

După cum se vede în tutorialul simplu DHCP Spoofing, atribuirea IP prin DHCP îi atribuie lui Bob adresa pe care am specificat-o cu adresa MAC a acestuia.

10) Dacă totul este configurat corect, Bob ar putea să-l facă pe Alice:

12) În cele din urmă, Bob accesează site-ul Alice:

Este important să rețineți că, deși acest ghid se bazează pe un scenariu simplu, comenzile și metodele de configurare nu variază de la scenariu la scenariu, deoarece componentele și software-ul implicat sunt aceleași. Există distribuții Linux special pregătite pentru a acționa ca un router pe o rețea LAN, cum ar fi OpenWRT, DD-WRT și Pfsense (freeBSD). Aceste distribuții oferă o interfață de configurare prietenoasă și nu necesită comenzi introduse manual la terminale. Aceasta este o propunere simplă de a configura propriul nostru Gateway bazat pe GNU / Linux fără ajutorul asistenților de configurare, adică „realizat în întregime manual”.
În tutoriale ulterioare, opțiunea de a configura un DNS local, un firewall complet și serviciul Proxy vor fi adăugate la acest ghid, pentru a gestiona accesul la Internet, așa că fiți atenți.V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv