Konfigurera en GNU / Linux-baserad router

Tillgång till Internet (eller andra nätverk om du vill) i ett LAN är utgångspunkten för hem-, företags-, myndigheter etc. nätverk. Oavsett om det är hemma, på jobbet eller i ett laboratorium, spelar korrekt administration av resurser en grundläggande roll för att aktiviteterna ska utföras korrekt. Internetåtkomst och webbaserade tjänster representerar viktiga punkter i hanteringen av datorresurser.
Ett LAN -nätverk har en sammankopplingspunkt där all kommunikation "dirigeras" till andra nätverk, och därmed via internet. Normalt installerar Internetleverantören (ISP) i inhemska anslutningar en enhet som fungerar som ett modem och en router för nätverket, så att alla datorer på LAN kan få åtkomst till Internettjänster.
Vad är en router?”Det är en enhet som ger anslutning på nätverkslagernivån i ISO / OSI -modellen. Dess huvudsakliga funktion är att skicka eller dirigera datapaket från ett nätverk till ett annat, det vill säga sammankoppla delnät, förstå med delnät en uppsättning IP -maskiner som kan kommunicera utan ingripande från en router (genom broar), och därför har de olika nätverk prefix. "
Routrarna sammankopplar sedan nätverk; till exempel om Bob finns i delnät 10.0.0.0/24 och Alice i delnät 20.0.0.0/24, eftersom de tillhör olika delnät kan de inte kommunicera direkt. Om en router är installerad med åtkomst till båda delnäten (till exempel med 2 nätverkskort, var och en konfigurerad på varje delnät) kan Bob använda routern för att skicka data till Alice och vice versa.

FÖRSTORA

Varje värd har en routningstabell där den i princip pekar på routerns IP -adress som kan dirigera den till en IP -adress (nätverk eller värd). När det gäller samma delnät "vet" varje värd att den kan kommunicera direkt med andra system på själva delnätet (eftersom de är "grannar" på samma delnät och inte behöver routrar för att kommunicera).
I ett vanligt LAN konfigurerar värdar en IP -adress och en nätmask som bestämmer adressutrymmet de kan kontakta utan att behöva använda routrar. Om värdarna måste komma åt Internet konfigureras dessutom en standardgateway, som anger IP -adressen för routern som används för internetåtkomst.
Konfigurationen av namnservrar eller DNS är också viktig, men för den här guiden kommer vi att använda Internet -DNS, till exempel 8.8.8.8 (Googles offentliga DNS).
När det gäller standardgatewayen på ett LAN tillhandahåller routern inte bara routingtjänster utan också maskering. Maskering är nödvändig för att paket ska skickas till internet med routerns wan ip -adress, det vill säga den ip som routern har i internetleverantörens undernät, så att förmedlingssystem kan dirigera routerns väg tillbaka oavsett LAN IP -adress som skickade paketet. På detta sätt kan varje LAN -subnät konfigureras med valfri adress oavsett om andra klienter använder den, eftersom routern ändrar källens IP -adress med sin egen innan paketen skickas. När ett paket "kommer tillbaka" från internet använder routern en anslutningslogg och "vet" vilken värd paketet ska levereras till.
I ett vanligt LAN fungerar ADSL -modemet som en router och standardgateway för LAN. Poängen är att den offentliga IP -adressen tilldelas ADSL -enheten och den ger åtkomst via det konfigurerbara LAN -nätverket (vanligtvis ett 192.168.1.0/24 -nätverk).
Samma ADSL -enhet tilldelar normalt nätverkskonfigurationer till LAN med DHCP, så det är bara nödvändigt att konfigurera datorn för att ta en konfiguration automatiskt och sedan fungerar allt.
Beroende på modemmodell och typ av internetåtkomst är det möjligt att modemet bara fungerar som sådant, eftersom det är ett krav att värden som är ansluten till det initierar internetanslutningen (till exempel via PPPoE). I andra fall är det möjligt att "dirigera" modemet för att fungera som ett modem-router och upprätta själva Internet-anslutningen. Vissa leverantörer ger direktåtkomst till det offentliga nätverket, vilket indikerar för klienten den fasta offentliga IP -adressen som har tilldelats, standardgateway och DNS. Att IP -adressen är offentlig, avgör i princip att alla värdar i världen som är anslutna till internet (utan begränsningar) kommer att kunna kontakta oss direkt.
Detta är vanligtvis fallet för företagsnätverk, och det är därför den här guiden presenteras under ett sådant scenario.
Inblandade systemLAN:
Guppa:
MAC -adress: AA: BB: CC: 22: 33: 44
IP -adress: 192.168.1.2/24 (kan tilldelas via DHCP)
Operativsystem: Windows XP
Nätverksgateway (DNS + DHCP):
MAC -adress (LAN): AA: BB: CC: 44: 55: 66
LAN -IP -adress: 192.168.1.1/24
WAN IP -adress: 200.51.2.1/30
Standardväg med 200.51.2.2/30
Operativsystem: GNU / Linux Ubuntu
INTERNET:
Internetrouter:
IP1 -adress: 200.51.2.2/30
IP2 -adress: 180.0.0.2/16
…
Operativsystem: GNU / Linux Ubuntu 14.04
Alice (webbserver):
IP -adress: 180.0.0.1/16

FÖRSTORA

I grafen är systemen till höger om internetmolnet system anslutna till det offentliga nätverket. Bob är på ett LAN, och routern som fungerar som standardgateway (eller Bobs LAN Default Gateway) är systemet vi kommer att fokusera på.
Den senare måste tillhandahålla DHCP -tjänster till Bobs LAN och en gateway -tjänst (router med maskerad).
1) I första hand måste routerns nätverksgränssnitt konfigureras så att den har en anslutning på LAN (192.168.1.1/24) och på Internet (WAN, 200.51.2.1/30); För att göra detta, redigera nätverkskonfigurationsfilen:

 # vim / etc / network / interfaces 

2) Om vi ​​antar att eth0 är LAN -gränssnittet och eth1 är WAN -gränssnittet, ange inställningarna enligt följande:

Observera att det indikerades i början att nätverksgränssnitten automatiskt skulle lyfta med loopback -gränssnittet, med hjälp av "auto" -direktivet
Sedan för varje gränssnitt, LAN eller eth0 och WAN eller eth1, har nätverkskonfigurationen specificerats statiskt.
I det här fallet antar vi att Bobs ISP eller ISP har tilldelat honom den offentliga IP -adressen och fixar 200.51.2.1/30 och att hans gateway är 200.51.2.2.
3) Konfigurera namnet på gatewayen genom att redigera filerna " / etc / hostname" och " / etc / hosts"
Ersätt namnet som för närvarande verkar vara försiktig med att lägga samma i båda. För denna handledning har jag valt "Gateway" som namn.
Springa:

 # vim / etc / hostname 

Infoga det nya namnet:

Kör sedan i terminal:

 # vim / etc / hosts 

Och ange namnet på routern enligt nedan:

4) Paketöverföringsfunktionen måste aktiveras i den gateway som vi konfigurerar, så att den fungerar som en router. Kör i en Gateway -terminal:

 # vim /etc/sysctl.conf 

5) Avmarkera sedan raden "net.ipv4.ip_forward = 1”Och starta om (av testskäl)

För att testa konfigurationen, kör i terminalen:

 # cat / proc / sys / net / ipv4 / ip_forward 

Om utgången är "1" betyder det att paketförmedlingsfunktionen är aktiverad:

6) När systemet är konfigurerat som en router lägger du till maskeringsfunktioner. Med iptables Det är möjligt att ange att den utgående trafiken från LAN till vilket nätverk (internet) som helst maskeras av denna gateway.
Kör följande kommando:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

Detta genererar filen "/etc/reglas-fw.sh". Ge nu exekveringsbehörigheter:

 # chmod + x /etc/init.d/rules-fw.sh 

Indikerar sedan med update-rc.d att köra rules-fw.sh vid start:

 # update-rc.d rules-fw.sh start 90 2 3 4 5. 

Slutligen starta om och testa om regeln har tillämpats. För att göra detta, efter omstart, kör:

 # iptables -t nat -L -n 

Och utmatningen ska visa de tillämpade reglerna där maskeringen ska visas:

7) För att routern ska tilldela värdarna på nätverket nätverksinställningar, installera en DHCP -server med följande kommando:

 # apt-get installera isc-dhcp-server 

8 ) Konfigurera DHCP -tjänsten så att den bara använder LAN -nätverksgränssnittet (vi vill inte distribuera IP -adresser till Internet!). För att göra detta, redigera konfigurationsfilen:

 # vim / etc / default / isc-dhcp-server 

Ange lan -gränssnittet:

9) Redigera DHCP -serverns konfigurationsfil för att bestämma poolen av IP -adresser, gatewayen som ska tilldelas, etc. Kör på en avslutning:

 # vim /etc/dhcp/dhcpd.conf 

Ange subnätkonfigurationen, dns som ska tilldelas och gatewayen. För Bobs värd har vi tvingat IP -adressen 192.168.1.2 alltid att tilldelas:

 delnät 192.168.1.0 nätmask 255.255.255.0 {option routers 192.168.1.1; alternativ domännamnservrar 8.8.8.8; alternativ domännamn "lan"; auktoritativ; } värd Bob {hardware ethernet AA: BB: CC: 22: 33: 44; fast adress 192.168.1.2; } 

Starta om tjänsten:

 # /etc/init.d/isc-dhcp-server starta om 

Kontrollera i systemets systemlogg om någon klient begär IP -tilldelning:
FÖRSTORA

Som framgår av DHCP Spoofing Simple tutorial, tilldelar IP -tilldelning via DHCP Bob den adress vi angav med sin MAC -adress.

10) Om allt är rätt konfigurerat kan Bob pinga Alice:

12) Slutligen öppnar Bob Alices webbplats:

Det är viktigt att notera att även om den här guiden är baserad på ett enkelt scenario, varierar konfigurationskommandona och metoderna inte från scenario till scenario eftersom komponenterna och programvaran är desamma. Det finns Linux-distributioner som är särskilt förberedda för att fungera som en router på ett LAN, till exempel OpenWRT, DD-WRT och Pfsense (freeBSD). Dessa distributioner ger ett vänligt konfigurationsgränssnitt och kräver inte manuellt inmatade kommandon vid terminalerna. Detta är ett enkelt förslag om att skapa vår egen Gateway baserad på GNU / Linux utan hjälp av konfigurationsguider, det vill säga "helt för hand".
I senare självstudier kommer alternativet att konfigurera en lokal DNS, en komplett brandvägg och proxytjänsten att läggas till i den här guiden för att hantera internetåtkomst, så var försiktig.Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng