Jaký Linux nainstalovat pro bránu. Nastavení brány pro domácí místní síť na Ubuntu Linux. Nastavení internetové brány v systému Linux
Dáno: 1. Počítač se dvěma síťovými kartami. 2. Linuxová distribuce Debian nebo Ubuntu. (Stále bych to doporučil pro server Debian) 3. Přímé ruce a svěží hlava.Pojďme tedy začít!
Nejprve si nainstalujme Linux na váš počítač a upřesněte všechna síťová nastavení. Doporučuji nainstalovat Debian a po výzvě máme na výběr požadované balíčky, nainstalujeme pouze hlavní součásti systému a openssh-server. To je vše, k provozu brány v Linuxu nepotřebujeme nic jiného. Žádný grafické shelly. Nainstalujeme přímo a poté se můžete připojit přes ssh pro kontrolu vzdálený server nebo pokud klávesnice, myš a monitor nejsou připojeny. Instalace Debianu na počítač se příliš neliší od instalace Ubuntu.
Po instalaci Linuxu do počítače z něj musíme udělat bránu. K tomu musí něco umět.
1. Síťové pakety si předávejte sami. (VPŘED)
2. Přeložte síťové adresy (převeďte místní síťové adresy na 1 externí adresu, pod kterou bude uživatel přistupovat do sítě). Jinými slovy, brána umožňuje uživatelům místní sítě procházet přes ni pod vlastní adresou. Můžete to zavolat softwarový router nebo jak chcete. Tato služba se nazývá NAT (Network Address Translation).
Ale nejdřív. Nejprve nakonfigurujeme síťová rozhraní. Nastavení místní sítě přebíráte od sebe, nastavení internetu od svého poskytovatele. Pokud se k internetu nepřipojujete prostřednictvím IP autorizace, ale prostřednictvím xDSL připojení, použijte nástroj pppoeconf.
Představme si, že máme nakonfigurovaná 2 síťová rozhraní. Jedná se o lokální (eth0) a externí (eth1). Na bráně je internet, Yandex pingy, Google pingy tam taky. Téměř posledním úkolem je, aby naše linuxová brána pustila všechny přes sebe na internet. Zde chci poznamenat, že Linux má svůj vlastní firewall a nazývá se iptables. Ve výchozím nastavení iptables funguje tímto způsobem - "Nepustím nikoho dovnitř kromě připojení, které jsem inicioval já!" Ale to nebude fungovat) Proto konfigurujeme iptables:
Jít:
1. Vytvořte soubor s názvem firewall.sh ve složce /etc/init.d/
# dotkněte se /etc/init.d/firewall.sh
2. Dáváme práva ke spuštění
# chmod 755 /etc/init.d/firewall.sh
3. Přidejte náš skript do spuštění. Pro každý případ :)
# update-rc.d výchozí nastavení firewall.sh
4. Vlastně upravujeme náš scénář.
# nano /etc/init.d/firewall.sh
Nechme jádro pochopit, že se jedná o skript real.sh
# !/bin/sh (přímo zde, spolu se symbolem # a napište dovnitř! Toto je typ komentáře, který jádro potřebuje)
Povolme přeposílání v Linuxu.
echo 1 > /proc/sys/net/ipv4/ip_forward (1 - zapnuto, 0 - vypnuto:))
Obnovme všechna nastavení příchozích, odchozích a přeposílání. To nám pomůže zbavit se „nesprávných“ pravidel iptables zadaných v konzole. Stačí spustit skript a pravidla se aktualizují:
iptables -F INPUT
iptables -F VÝSTUP
iptables -F VPŘED
Výchozí zásada – přeposílání povoleno:
iptables -P VPŘED PŘIJMOUT
Pojďme přidat nové pravidlo po směrování do síťová tabulka"nat". Logika pravidla je následující: Ze zdroje „lokální sítě“ by měly být odchozí pakety přes externí rozhraní „přenášeny“ (přenášeny jako jeden externí), ale budeme se maskovat. Maškaráda (MASQURADE) dává příležitost správné fungování s dynamickou externí IP adresou. iptables -A (nové pravidlo) POSTROUTING (po směrování) -t (tabulky...) nat (...NAT) -s (zdroj - ze zdroje) 192.168.1.0/24 (celá místní síť) -o ( výstup - přes odchozí...) eth1 (...rozhraní eth1) -j (zaměstnání - práce (co dělat?)) MASQUERADE (převlek). Tito. Toto je pravidlo iptables:
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth1 -j MASQUERADE
To je vše. Na konec skriptu můžete také přidat něco jako upozornění, které bude indikovat, že skript fungoval:
pravidla brány firewall echo přijata
Uložit a zavřít. (Pokud jste upravovali přes nano, jako v tomto článku, stiskněte ctrl+o (uložit) ctrl+x (zavřít)).
Nyní spustíme náš skript
/etc/init.d/firewall.sh
Viděli jste zprávu „pravidla brány firewall přijata“? Byly tam nějaké chyby? Gratulujeme! Linuxová brána je připravena! Nyní budou mít všechny počítače z vaší lokální sítě přístup k internetu, i když bez jakýchkoli omezení. A ano, pokud vaše síť ne DNS servery, pak v nastavení klienta musíte zadat DNS serveru poskytovatele nebo například DNS server Google;) (adresa je snadno zapamatovatelná - 8.8.8.8)
iptables -A VPŘED -p igmp -i eth0 -o eth1 -j PŘIJMOUT
iptables -I INPUT -d 224.0.0.0/4 -j ACCEPT
iptables -PŘEDÁM -d 224.0.0.0/4 -j PŘIJMOUT
přidání trasy -net 224.0.0.0 maska sítě 240.0.0.0 eth0
iptables -t filtr -A INPUT -d 224.0.0.0/240.0.0.0 -i eth0 -j PŘIJÍMAT
iptables -t filtr -A INPUT -s 224.0.0.0/240.0.0.0 -i eth0 -j PŘIJÍMAT
iptables -t filtr -A VPŘED -d 224.0.0.0/240.0.0.0 -j PŘIJÍMAT
iptables -t filtr -A VPŘED -s 224.0.0.0/240.0.0.0 -j PŘIJÍMAT
iptables -t mangle -A PREROUTING -d 224.0.0.0/240.0.0.0 -p udp -j TTL --ttl-inc 1
Mezi velkou rozmanitost Linuxové systémy Oblíbené jsou především specializované routerové rozvody. Taková řešení jsou zpravidla malá, jednoduchá a snadno se instalují a konfigurují a dostupné funkce vám umožňují připojit vaši domácí/firemní síť k internetu a chránit ji před síťovými útoky a viry. Mnoho z nich má navíc funkce řízení provozu, blokování protokolů, antispamový filtr, tvarovač a mnoho dalšího. Výběr „svého obránce“ proto není snadný. Tento článek vám pomůže rychleji se zorientovat.
Untangle Gateway 7.0.1
OS
: Untangle Gateway 7.0.1
Web projektu
: www.untangle.com
datum vydání: 20. října 2009
Licence: GPL
Hardwarové platformy: x86_32
Požadavky na systém: CPU 800 MHz, 512 MB RAM, 20 GB disk, 2+ NIC
Distribuce Untangle, kterou vyrábí stejnojmenná společnost, je schopna nahradit komerční řešení, jako je ISA Server ( Přední TMG), poskytující bezpečný přístup k internetu. Untangle je určen pro malé a střední organizace s 50-300 a více počítači (systémové požadavky jsou uvedeny pro 50). Untangle je založen na Debianu, všechna nastavení se provádějí pomocí přehledného, i když nelokalizovaného rozhraní. K řízení stačí pochopit podstatu, hluboké znalosti Unixové systémy v normálních situacích to nebude nutné. Na rozdíl od jiných řešení, která využívají webové technologie, je rozhraní Untangle napsáno v Javě, takže všechny změny v řídící konzoli, statistiky práce a tak dále se zobrazují v reálném čase, což je velmi pohodlné. I když za používání Javy jste museli platit se zvýšenými požadavky na systém.
Untangle je navržen jako konstruktor. Po instalaci základního systému neobsahuje žádné ochranné moduly, administrátor si na základě úloh a dostupného vybavení sám vybere, co je skutečně potřeba. Do Untangle můžete přidat 94 balíčků (19 aplikací), které zajistí: směrování, antivirovou/anti-phishingovou/spywarovou ochranu, detekci útoků, analýzu protokolů (úroveň 7), filtrování obsahu webového provozu, VPN připojení a mnoho dalších funkcí. Jsou založeny na populárních aplikacích OpenSource - Snort, ClamAV, SpamAssassin, Squid atd. Proprietární modul „Attack Blocker“, který je nabízen zdarma, chrání před DoS a některými nízkoúrovňovými síťovými útoky. Antispamový filtr rozpozná spam v obrázcích, pro které se připojí k OCR. Modul analýzy protokolů je v případě potřeby schopen omezit provoz libovolných protokolů aplikační úrovně (P2P, IM atd., celkem ~100 protokolů), i když používají nestandardní porty.
Některé proprietární vývoje jsou distribuovány na základě předplatného – Kaspersky Anti-Virus, eSoft Web Filter, modul pro práci s Active Directory, zálohování nastavení atd. Pro pohodlí existují také hotové „sestavy“ modulů určených pro různé sítě - Vzdělávání, Small Business, Professional, Vláda(v různých možnostech doručení, dostupné také na základě předplatného). Modul zdarma Zprávy umožňuje správci přijímat zprávy o všech možné situace— síťová aktivita, protokoly, detekovaný spam a viry, aktivita uživatele. Výsledek lze uložit do souborů PDF formáty, HTML, XLS, CSV a XML a odeslat e-mailem.
Instalace distribuce je poměrně jednoduchá a zabere minimum času: tradičně postupujeme podle pokynů průvodce (během instalace si můžete vybrat ruský jazyk) a odpovídáme na otázky. Po cestě budou zkontrolovány systémové požadavky, všechny pozice by měly být v pořádku. Dále naformátujeme pevný disk, proces je automatizovaný, pro který stačí stisknout „ Pokračovat«.
Po restartu se aktivuje průvodce, jehož úkolem je pomoci s konfigurací brány. V seznamu navrhovaných jazyků je zde srozumitelná pouze angličtina; Dále postupně zadáváme heslo pro účet admin, vyberte časové pásmo, zadejte registrační údaje (je vyžadován e-mail a počet počítačů). Poté systém rozpozná síťové karty a přiřadí jim - Externí/Interní (pokud existuje třetí síťové rozhraní můžete bez problémů zorganizovat demilitarizovanou zónu). Pomocí myši lze zadání opravit, ale nelze určit, kde která z karet má dostupné informace. Označujeme typ internetového připojení (DHCP, PPPoE, Statické), pro kontrolu klikněte na „ Testování konektivity". Na kroku" Vnitřní síť"Budete si muset vybrat jednu ze dvou možností pro použití Untangle: Průhledný most nebo Směrovač. Při výběru druhé možnosti je třeba zadat IP adresu rozhraní vnitřní síť a volitelně aktivujte vestavěný DHCP server. A poslední fáze - odeslání testovací zpráva e-mailem, standardně se používá interní SMTP, ale lze zadat jakýkoli externí. Po dokončení se načte konzola pro správu. Vlevo jsou dvě záložky. V Apps vybíráme a instalujeme balíčky, v Config provádíme nastavení. Vše je rozebráno bod po bodu, takže je velmi snadné najít potřebná nastavení a přijít na to. Chcete-li například nakonfigurovat bránu firewall, přejděte na kartu se stejným názvem. Systém okamžitě nabídne stažení požadovaného balíčku. Klikněte na " Stažení zdarma", jakmile je stahování dokončeno, ve středu okna se objeví zástupce pro konfiguraci komponenty.
Stejným způsobem dáme vše, co potřebujeme - Blokátor útoků, Řízení protokolu, OpenVPN Zprávy atd. Chcete-li nakonfigurovat modul, vyberte jej a klepněte na tlačítko Nastavení. Firewall má například již 3 připravená pravidla (blokování příchozích spojení na 21 portech, blokování a povolení sad pravidel pro příchozí provoz ze sítě 1.2.3.0). Můžete je vzít jako základ úpravou nebo analogickým vytvořením vlastního pravidla. Pravidlo se vytváří velmi jednoduše, klikněte Přidat a vyplňte příslušná pole. Zde na podzáložce " Záznam událostí» můžete zobrazit související události.
Pokud zavřeme okno webového klienta, objeví se před námi plocha. V panelu je několik zkratek, jejichž účel je více pomocný znak— spuštění a zastavení spořiče obrazovky, obnovení, změna rozlišení atd.
Endian Firewall Community 2.3
OS: Endian Firewall Community 2.3
Web projektu: www.endian.com/en/community/overview/
datum vydání: 27. října 2009
Licence: GPL
Hardwarové platformy s: x86_32
Požadavky na systém: CPU 166 MHz, 64 MB RAM, 2 GB
Endian Firewall (EFW) byl původně založen na IPCop Firewallu, ve kterém se vývojáři rozhodli posílit bezpečnostní funkce a použitelnost rozhraní. Dnes z rodiny zbylo jen málo a EFW je postaveno na CentOS a zahrnuje plný set prostředky ochrany proti vnější hrozby, což umožňuje jeho klasifikaci jako systém UTM (Unified Threat Management). Tento stavový paketový filtr (netfilter), IDS/IPS (Snort), filtr obsahu, antivirová kontrola HTTP/FTP/POP3/SMTP provozu, antispamová ochrana, anti-spoofing a anti-phishing moduly. Zásady filtrování a směrování umožňují specifikovat téměř všechny relevantní informace – protokol, port, síťové rozhraní, IP a MAC adresy. Je možné konfigurovat ACL pro stránky přes HTTP Proxy (transparentní nebo neprůhledné) s odkazem na uživatele, skupinu, adresu, useragent, čas. Filtr obsahu obsahuje připravená nastavení pro více než 20 kategorií a podkategorií.
Připojení k internetu je realizováno přes Ethernet, PPPoE, ADSL (USB, PCI), ISDN, modem včetně 3G. Externímu rozhraní můžete přiřadit více IP adres (IP aliasing). Kromě místního (NCSA) ověřování uživatelů je poskytována podpora pro Active Directory, LDAP a RADIUS. Do tohoto seznamu přidáme vytváření a správu sítí VLAN, plnou správu QoS a podporu SNMP. V rámci EFW najdeme dvě aplikace pro organizaci bezpečného VPN připojení— OpenVPN a Openswan/Pluto (implementace IPsec pro Linux).
Statistiky se uchovávají o připojeních, provozu a uživatelské zkušenosti. Když nastanou určité události, odešle se zpráva na e-mail správce. 
Zašifrovaný archiv s nastavením je zálohován na USB flash disk nebo odeslán na e-mail, takže v případě potřeby můžete obnovit chod brány jen několika kliknutími myši.
Systém lze ovládat z příkazové řádky nebo přes lokalizované webové rozhraní.
Instalace se provádí pomocí průvodce s pseudografickým rozhraním a pro nezkušeného uživatele je poměrně jednoduchá. Spustíme a potvrdíme formátování disku, po kterém systém na požádání začne kopírovat, uveďte IP adresu ZELEného (interního) rozhraní. To je celá instalace. Po restartu se v konzoli zobrazí údaje pro registraci přes web ( http://ip-adresa/ nebo https://ip-adresa:10443). Navržené menu konzoly vám umožňuje opustit shell a nastavit heslo účtu vykořenit(pro SSH) a admin(web). Zadáním poskytnuté adresy do prohlížeče a absolvováním několika kroků dokončíme instalaci - vyberte jazyk (k dispozici je ruština), časové pásmo, souhlasíte s podmínkami GNU licence GPL. Dále průvodce navrhuje importovat nastavení ze zálohy, říkáme „ Ne"a zadejte hesla pro root a admin.
Teď je řada" Průvodce nastavením sítě“, což zjednodušuje proces připojení k síti. S ním musíte projít 8 kroky, například vybrat typ připojení ČERVENÉ (externí) rozhraní a poznamenat, zda existuje WiFi k dispozici(MODRÁ) a DMZ (ORANŽOVÁ). V případě potřeby změnit ZELENÉ nastavení je možné kartu „přeřadit“ a určit aliasy, nastavit název hostitele. Tuto operaci zopakujeme obdobně pro další rozhraní, zadáme adresy hlavního a záložního DNS serveru a e-mail administrátora. Všechno. Po registraci s přihlašovacími údaji správce se dostaneme k domovská stránkařídící konzole, která zobrazuje grafy návštěvnosti aktualizované v reálném čase, údaje o stavu služeb a vytížení systému. Nastavení je poměrně hodně, ale všechna jsou úspěšně rozdělena do skupin, jejichž názvy mluví samy za sebe - Systém, Stav, Počítačová síť, Služby, Firewall, proxy, VPN a události. Proto se vyrovnat s další nastavení EFW je docela jednoduché.
IPCop Firewall 1.9.8
OS: IPCop Firewall 1.9.8
Web projektu: www.ipcop.org
datum vydání: 29. října 2009
Licence: GPL
Hardwarové platformy: x86_32
Požadavky na systém: Intel Pentium II 233 MHz, 64 MB RAM, 2 GB
Verze IPCop 0.1.1 (2002) byla založena na SmoothWall 0.9.9, poté projekt zcela přešel na LFS a dnes se o vztahu nedá mluvit. Distribuce je zaměřena na trh SOHO ( Malá kancelář, Home Office), takže hlavním úkolem vývojářů je vytvořit rozhraní pohodlné a jednoduché. Balíček obsahuje vše, co potřebujete k uspořádání zabezpečené brány - paketový filtr, IDS/IPS, web a DNS proxy, DHCP server/klient, Openswan, OpenVPN, omezení provozu, NTP server. Implementováno řízení připojení přes web proxy podle IP adres a názvu systému.
Vše, co chybí v základním balíčku, je dostupné v addonech ( sf.net/apps/trac/ipcop/wiki/Addons), které jsou vyvíjeny a podporovány zpravidla programátory třetích stran. Zde již najdeme filtr URL, pokročilý nastavení firewallu, kontrola webového a SMTP provozu na přítomnost virů a mnoho dalšího. Stejně jako v EFW mají rozhraní barvy - ZELENÁ, ČERVENÁ, ORANŽOVÁ (DMZ) atd. Externí rozhraní podporuje připojení přes Ethernet (statický, DHCP), PPTP, PPPoE, ISDN i přes modemové připojení. Některé operace (připojení, odpojení, aktualizace atd.) lze provádět podle plánu.
Až do nedávné doby stabilní verze byla považována za 1.4.20 (s aktualizací na 1.4.21), dnes se aktivně vyvíjí verze IPCop v2 a seznámíme se s vydáním 1.9.8.
Ke stažení jsou nejen tradiční ISO (velikost 50 MB), ale také obrázky pro spouštění sítě, instalace na USB flash disk/pevný disk a některé další.
Proces instalace se provádí v pseudografické konzoli a je velmi triviální. Po dokončení zadejte adresu do prohlížeče https://gateway_ip:8443/. Chcete-li lokalizovat rozhraní, přejděte na Systém – nastavení GUI a ze seznamu vyberte ruštinu.
Konzole pro správu je poměrně jednoduchá. Nahoře je 7 záložek ( Systém, stav, síť, služby, brána firewall, VPN, protokoly), když najedete myší na jakoukoli položku, zobrazí se podpoložky. Chcete-li například nakonfigurovat OpenVPN, přejděte na požadovanou záložku, kde zaškrtnutím " OpenVPN na RED„Aktivujeme server. 
Nyní naznačujeme Extra možnosti(IP adresa externích a interních sítí, protokol, šifrovací algoritmus, komprese přenášených dat pomocí knihovny LZO atd.) Přejít na " Pokročilé možnosti serveru» vám umožní práci doladit servery OpenVPN. Také jen v " Firewall - Pravidla brány firewall» jsou nakonfigurována pravidla paketového filtru. Vyberte typ pravidla ( Odchozí provoz, přesměrování portů, přístup IPCop, externí přístup IPCop) a vyplňte poskytnutá pole.
SmoothWall Express 3.0 SP1 „Polar“
OS: SmoothWall Express 3.0 SP1
Web projektu: smoothwall.org
datum vydání: 8. ledna 2009
Licence: GPL
Hardwarové platformy: x86_32, x86_64
Požadavky na systém: Intel Pentium 166 MHz, 32 MB RAM, 2 GB HDD
Projekt, který vznikl v polovině roku 2000, si dal za cíl soustružení zastaralý počítač do plnohodnotné brány s bezpečnostními funkcemi, s jejichž nastavením by se dalo manipulovat běžný uživatel. Iniciativa byla úspěšná. V prvních měsících bylo ze SourceForge staženo několik desítek tisíc kopií. I když pohodlné webové rozhraní, IDS/IPS a některé další užitečné funkce SmoothWall byl představen o něco později (od verze 0.9.9). A tak má SmoothWall vše, co potřebujete – firewall, přesměrování portů, podpora VPN, Web/DNS/SIP/POP3 proxy, IM proxy (MSN/AIM/ICQ/Yahoo) s hotovými filtry a protokolováním provozu (na základě IMSpector), DHCP server, NTP, podpora QoS. Je možné nainstalovat přístup k internetu pro určité adresy v závislosti na denní době. V případě potřeby je provoz kontrolován pomocí antiviru Clamav.
Stejně jako ve dvou předchozích distribucích jsou podporovány až 4 síťová připojení: WAN, LAN, DMZ, WiFi. „Červenému“ rozhraní lze přiřadit: Ethernet (statický, DHCP), PPPoE, ISDN, ADSL nebo modemové připojení.
Samotná verze 3.0 byla vydána na konci roku 2007, dnes je k dispozici nejnovější verze s SP1. Kromě ISO (x86, x86_64) zap samostatná stránka Obraz VMWare je k dispozici.
Instalace je poměrně jednoduchá, několikrát klikněte na OK a je to, postup je dokončen. Dále jsou zde primární nastavení – rozložení, název hostitele a volba odchozí komunikační politiky:
— OTEVŘENO- Všechno odchozí provoz povoleno;
— Napůl otevřeno— připojení jsou povolena pouze na hlavních portech, potenciálně nebezpečná připojení jsou blokována;
— ZAVŘENO— všechna odchozí spojení jsou blokována.
Poté nakonfigurujeme typ sítě. Nabízíme několik kombinací rozhraní a typů připojení (ZELENÁ + ČERVENÁ, ZELENÁ + ČERVENÁ + ORANŽOVÁ atd.) Poté distribuujeme síťová zařízení podle jejich zamýšleného účelu uvádíme adresy rozhraní (v případě potřeby) a adresy brány a DNS serveru. Zadejte heslo pro uživatele vykořenit A admin. Po restartu pro další instalace vyvolejte prohlížeč a zadejte http://ip-adresa:81/ nebo https://ip-adresa:441.
Webové rozhraní není lokalizované, ale je vcelku jednoduché. Vyberte jednu z hlavních karet ( Ovládání, O aplikaci, Služby, Sítě, VPN, Protokoly, Nástroje, Údržba) a získejte přístup k nastavení. Ve výchozím nastavení není Snort aktivován, musíte přejít na Služby - IDS, zaškrtněte políčko " Šňupat"a zadejte" Oink kód". Nastavení pravidel brány firewall se provádí v vytváření sítí, vyberte požadovaný směr (například odchozí) a vyplňte navrhovaná pole. Pomocí AJAX umožňuje správci prohlížet grafy načítání kanálů v reálném čase (tab O). Statistiky provozu jsou k dispozici pro libovolnou IP adresu a za jakékoli časové období. Distribuční sada se aktualizuje stisknutím jednoho tlačítka Údržba – aktualizace.
Vyatta CE 5
OS: Vyatta Community Edition 5.0.2
Web projektu: www.vyatta.org
datum vydání: 9. března 2009
Licence: GPL
Hardwarové platformy: x86_32
Požadavky na systém: Intel Pentium III 450 MHz, 128 MB RAM a 2 GB, 2+ NIC
Vývojáři distribuce Vyatta se rozhodli nekonkurovat nikomu, ale samotnému Cisco Systems. Pomocí Debianu jako základu jej integrovali s volně dostupnou směrovací platformou XORP ( eXtensible Open Router Platform, xorp.org), který je vyvíjen skupinou v ICSI (International Computer Science Institute) Berkeley s financováním od gigantů, jako jsou Intel a Microsoft. Instalací Vyatty na x86 počítač získáme router s funkcemi IDS/IPS (založený na Snortu), cachovací proxy a URL filtr ( Squid+SquidGuard), síťové zásady (Zásady přístupu k síti), OpenVPN, DNS Forwarding, Ethernet Bonding a Bridget Ethernet přes ADSL (RFC 2684). Podporovány jsou víceportové karty (T1/E1, T3 atd.) a bezdrátové 3G modemy.
První verze Vyatty byly konfigurovány výhradně pomocí příkazového řádku (jako směrovače Cisco). Poté se od verze 4 zpřístupnilo webové rozhraní (pro tyto účely byl zahrnut lighttpd). Zvláštní důraz je kladen na podporu dnes populárních virtuálních strojů – VMware, Xen, Hyper-V a některých dalších hypervizorů. Distribuce může pracovat s LiveCD při ukládání nastavení na flash disk nebo jiné médium (soubor config.boot). Lze nainstalovat na pevný disk, USB klíčenku nebo Compact Flash kartu. Pokud máte dva disky, instalační program vám umožní jejich automatické propojení do pole RAID 1.
Projekt nabízí komerční podporu a prodává routery s předinstalovaným softwarem. Vyatta Community Edition (ISO, Citrix XenServer a obrazy VMWare) je k dispozici ke stažení a použití zdarma.
Proces instalace je poměrně jednoduchý, i když se provádí pomocí příkazového řádku. Zaregistrujte se jako vykořenit s heslem vyatta a spusťte instalační program:
#install-system
Dále potvrdíme instalaci a přistoupíme k vytváření oddílů. Výchozí nastavení je Auto. Zadáním „Ano“ potvrdíme zničení dat na disku, uvedeme velikost kořenového oddílu (standardně celý disk) a počkáme, až se data zkopírují. Poté nastavte hesla uživatelé root a vyatta, nainstalujte GRUB, poté restartujte a přejděte do konfiguračního režimu:
# konfigurovat
Konfigurace síťového rozhraní:
# nastavit rozhraní ethernet eth0 adresa 192.168.1.1/24 # nastavit rozhraní ethernet eth0 popis LAN
Povolit webové rozhraní:
# nastavit službu https
Ostatní služby jsou povoleny stejným způsobem - nat, dns, dhcp-relay, dhcp-server, webproxy, ssh. V konzoli je k dispozici automatické dokončování: kliknutím získáme seznam možné hodnoty. Potvrdíme všechna nastavení.
# spáchat
Uvidíme, co se stane:
# zobrazit rozhraní
Všechna nastavení lze zobrazit zadáním ukázat vše. Ukončete režim úprav pomocí příkazu exit. Nyní zavoláme prohlížeč a nakonfigurujeme parametry pomocí webového rozhraní. Vybrat požadovanou kategorii a klikněte na tlačítko Vytvořit, poté vyplníme navrhovaná pole. Knoflík Ukázatúplně nahoře se zobrazí konfigurační soubor, ve kterém znaménko „+“ zvýrazní přidané, ale ještě neaktivované parametry. Chcete-li je uvést do činnosti, klikněte na tlačítko Zavázat (zrušit - Zahodit). 
Podle mého názoru je jednodušší zadat na příkazovém řádku:
# nastavit název firewallu povolit pravidlo 10 akci přijmout # nastavit název firewallu povolit pravidlo 10 zdrojovou adresu 192.168.0.0/24 # nastavit rozhraní ethernet eth0 firewall v názvu povolit # odevzdat
Jak nakonfigurovat podobné povolovací pravidlo pomocí navrhovaného webového rozhraní. Jen je potřeba si na novou syntaxi trochu zvyknout.
Závěr
Vítěze si vybere každý sám, na základě konkrétních úkolů. Osobně se mi líbí Vyatta pro jeho flexibilitu a příkazy podobné Cisco, Endian Firewall a Untangle pro jeho vybavení. Pro ty, kteří potřebují jednoduchost v nastavení, se podívejte na SmoothWall a IPCop.
- Dva domácí počítače s OS Linux Ubuntu, z nichž jedna má dvě síťové karty
- Připojení k internetu od poskytovatele, které se provádí prostřednictvím pppoe(obecně může být připojení k internetu cokoli, na tom vůbec nezáleží)
- IP adresa pro připojení k internetu - virtuální, jako 192.168.x.x
Úkol
Ujistěte se, že internet je dostupný na všech domácích počítačích.
Řešení
Pro jistotu budeme nazývat počítač se dvěma síťovými kartami server, což v podstatě bude, a druhý počítač bude klienta.
Chcete-li vyřešit jeden velký problém, musíte jej rozdělit na mnoho malých a postupně ho řešit. V našem případě tyto úkoly vypadají takto:
- Nastavte připojení k internetu přes pppoe na serveru
- Nastavte spojení mezi domácími počítači (server a klient), bude to domácí lokální síť
- Nastavte bránu, tedy vysílání paketů mezi domácí místní sítí a Internetem
V současné době máme na našem serveru následující síťová rozhraní: místní smyčka hle, první síťová karta eth0 a druhá síťová karta eth1. Opět, pro jistotu, budeme předpokládat, že eth0- jedná se o síťovou kartu s internetem (je do ní zapojen kabel poskytovatele) a eth1- síťová karta s kabelem domácí lokální sítě, tedy s kabelem z druhého počítače, od klienta.
Téměř všechna nastavení se provádějí na serveru.
Nastavení připojení k internetu přes pppoe
Spusťte v konzole jako superuživatel:
Začne proces nastavení, ve kterém budeme muset odpovědět na několik otázek. Postup je jasný a není příliš složitý. A co je důležitější, po konfiguraci budeme mít nové síťové rozhraní: ppp0.
Síťové rozhraní ppp0 funguje na rozhraní eth0. Lze jej zapnout a vypnout pomocí následujících příkazů:
# povolit rozhraní s dříve specifikovanými nastaveními: pon dsl-provider # zakázat rozhraní: poff
Při zapnutí ppp0 všechna potřebná nastavení sítě nám přenáší poskytovatel, respektive jeho server pppoe. Abyste mohli bezbolestně používat místní síť poskytovatele v nepřítomnosti internetu, musíte udělat ještě pár gest.
Nastavení rozhraní eth0.
Soubor /etc/network/interfaces
Auto eth0 iface eth0 inet static # Nastavení připojení vydané poskytovatelem: adresa ip_address maska sítě subnet_mask brána ip_gateway_address...
Abychom měli přístup, registrujeme DNS adresy poskytovatele místní zdroje podle jména.
Soubor /etc/resolv.conf
# Opět nastavení od poskytovatele: nameserver ip_address_DNS1 nameserver ip_address_DNS2
V mém případě není pro práci s místní oblastí poskytovatele potřeba nic jiného.
Nastavení spojení mezi domácími počítači
Domácího klienta a server propojíme kabelem, nejlépe krimpovaným podle schématu crossover. Můžete použít běžný patch, moderní síťové karty tak mohou fungovat.
Vybíráme podsíť pro domácí lokální síť, je vhodné, aby se nepřekrývala s adresami poskytovatele. Řekněme toto: 10.0.0.0/24 . To znamená, že naše síťové adresy budou vypadat takto 10.0.0.x, Kde X- číslo od 1 do 255 s maskou podsítě 255.255.255.0 .
Klientovi a serveru nastavíme adresy z vybrané podsítě. Když se objeví spojení mezi počítači, pokračujeme dál.
Nastavení vysílání paketů mezi vaší domácí místní sítí a Internetem
Pro tento úkol využijeme možnosti firewallu iptables.
Zkontrolujeme přítomnost iptables v systému (příkaz vrátí seznam balíčků obsahujících název iptables):
dpkg -l | grep iptables
A pokud tam není, nainstalujte jej (jménem superuživatele).
apt-get install iptables
Nastavení iptables vyžaduje poměrně specifické dovednosti a znalosti, takže máme velké štěstí, že existuje balíček pro systémy podobné Debianu (a Ubuntu je jen jedním z nich) arno-iptables-firewall. Pojďme to nainstalovat, také jménem superuživatele.
apt-get install arno-iptables-firewall
I během procesu instalace bude program vyžadovat zadání dat pro konfiguraci. Toto nastavení je ale předběžné a odpovědi na položené otázky nebudou stačit. Chcete-li iptables úplně nakonfigurovat, budete muset spustit příkaz rekonfigurace:
dpkg-reconfigure arno-iptables-firewall
Při překonfigurování budou okna výzvy částečně duplikovat okna, která se objevila během instalace. V každém případě se podívejte na screenshoty níže.
Základní nastavení brány firewall, které je vhodné pro většinu účelů, lze vytvořit zodpovězením několika otázek. Tato možnost bude vhodnější pro ty, kteří si nejsou jisti nastavením brány firewall.
Pokud odpovíte ne, firewall nebude fungovat, dokud ručně nezměníte nastavení v jeho konfiguraci.
Chcete nakonfigurovat bránu firewall pomocí nástroje Package Configurator?
Ano, samozřejmě, že ano.
Externí síťová rozhraní připojují místní počítač k nezabezpečeným sítím (například k Internetu). Brána firewall povolí pouze připojení, která jsou explicitně specifikována kombinací zdrojových a cílových portů na těchto rozhraních. Na všechno se musíte ptát externí rozhraní(například eth0 a/nebo ppp0).
Pro rozhraní ppp, které ještě neexistuje, můžete použít masku zařízení nazvanou "ppp+", ale použití ppp+ je možné pouze v případě, že neexistují žádná jiná rozhraní ppp!
Pokud nejsou specifikována žádná rozhraní, nezmění se žádná nastavení brány firewall.
Upozornění, že v dalším okně budete muset zadat všechna externí rozhraní oddělená mezerou.
Externí síťová rozhraní:
V našem případě ano ppp0 A eth0. Rozhraní ppp0 existuje a používá se, když je internet zapnutý, eth0 pro místní oblast poskytovatele.
Tento počítač může pomocí DHCP získat adresu od svého poskytovatele internetových služeb (ISP). To platí téměř vždy, pokud používáte trvalé připojení (například modem).
Li pomocí DHCP není výslovně uvedeno, firewall zablokuje vše síťový provoz spojené s požadavky DHCP.
Pokud si nejste jisti, ponechte toto nastavení povolené.
Používají externí rozhraní DHCP?
Přijímá náš server externí adresu přes DHCP nebo je statická? V našem konkrétním případě to nevadí, ale zvolme dynamiku.
Uveďte prosím čísla portů TCP služeb, které by měly být přístupné z vnějšího světa. Běžně používaná čísla portů jsou 80 (http), 443 (https) nebo 22 (ssh).
OTEVŘENO externí porty TCP:
Jaké TCP porty otevíráme pro Internet? V drtivé většině případů, zejména v našem - žádném, necháváme pole prázdné.
Výchozí zásada brány firewall je blokovat všechna příchozí připojení k externím rozhraním. Pokud tento počítač poskytuje služby do vnějšího světa(například jde o internetový webový server), musí být specifikovány explicitně.
Uveďte prosím čísla portů UDP služby, který musí být přístupný z vnějšího světa.
Můžete zadat nejen jeden port, ale také rozsah (například 10000:11000). Více položek musí být odděleno mezerou.
V případě pochybností nic nezadávejte.
Otevřete externí porty UDP:
Zkrátka to samé pro UDP porty.
Pro zvýšení bezpečnosti lze firewall nakonfigurovat tak, aby ignoroval požadavky na vysílání ICMP (ping). Někdy to může být užitečné (na první pohled se zdá, že hostitel je vypnutý), někdy to může být naopak (ztěžuje to diagnostiku ze stejného důvodu).
V případě pochybností nechte nastavení vypnuté.
Měl by počítač pingnout z vnějšího světa?
Zvolíme, zda je možné pingnout server z Internetu.
Interní síťová rozhraní připojují tento počítač k důvěryhodným sítím (například kancelářské nebo domácí). Firewall povolí všechny pokusy o příchozí připojení na těchto rozhraních. Pokud definujete tato rozhraní, můžete prostřednictvím tohoto stroje poskytnout interním sítím přístup k Internetu. Pokud taková rozhraní neexistují, ponechte pole prázdné.
Pomocí oddělovače mezery lze zadat více rozhraní.
Interní rozhraní:
Vybereme vnitřní síťové rozhraní, máme toto eth1, jak jsme se předtím dohodli.
Musíte zadat podsítě, které jsou připojeny k interním síťovým rozhraním. Hostitelé v interních sítích se mohou připojit ke všem službám na daném počítači.
Nastavte podsítě podle pravidel CIDR (například 192.168.1.0/24). Pokud máte několik interních sítí, uveďte každou oddělenou mezerou.
Vnitřní sítě:
Nastavili jsme podsíť naší domácí místní oblasti.
Pokud připojené vnitřní sítě musí mít přístup k vnějšímu světu (jako je Internet) přes firewall, musí být povoleno maskování (NAT).
V případě pochybností ponechte toto nastavení z bezpečnostních důvodů deaktivované.
Chcete povolit NAT?
Nejdůležitější. Internetový přenos paketů, kvůli kterému to vše bylo zahájeno. Určitě to zapneme.
Pokud chcete omezit přístup k externí sítě, můžete definovat povolené vnitřní podsítě podle pravidel CIDR (například 192.168.1.0/24). Jednotlivé uzly můžete také definovat pomocí jejich IP adres. Pokud máte mnoho interních sítí a/nebo hostitelů, můžete je oddělit mezerami.
Pokud ponecháte prázdné, automaticky se nastaví na interní síť. V tomto případě bude mít CELÁ vnitřní síť přístup k externím sítím, takže dávejte pozor, abyste nastavili pouze ty sítě, které potřebují mít přístup k vnějšímu světu.
V případě pochybností nic nezadávejte.
Upozornění, že nyní budeme muset zadat adresy lokální sítě, kterým bude povolen přístup k internetu.
Vnitřní sítě s přístupem k externím sítím:
Nastavíme povolené adresy, v našem případě je to celá podsíť.
Z bezpečnostních důvodů se nová nastavení brány firewall nepoužijí automaticky. Možná budete chtít zkontrolovat konfiguraci brány firewall /etc/arno-iptables-firewall/firewall.conf, zejména po aktualizaci verze, protože proměnné se mohou změnit.
V případě, že potřebujete použít nová nastavení brány firewall ručně před dalším restartem, zadejte: " invoke-rc.d arno-iptables-firewall start".
Pokud nepotřebujete ruční kontrola, lze nyní použít nastavení brány firewall.
Měl by být firewall (re)spuštěn hned teď?
Ano jistě. Proč ne.
Doplnění ze dne 27.03.2011
Podle četných požadavků pracovníků: "".
Co teď
Nyní máme téměř plnohodnotnou bránu na Ubuntu a přístup k internetu z naší domácí lokální sítě.
Pokud potřebujete k internetu připojit ne dva, ale více strojů, použijeme místo crossoveru switch a přiřadíme adresy v rozsahu od 10.0.0.3 do 10.0.0.255.
Tuto metodu můžete použít v organizacích, ale je lepší vytvořit bránu na Debianu a zaregistrovat tabulky iptables ručně.
Naším úkolem je tedy udělat z počítače a Správa Debianu/ Ubuntu (napíšu pro Debian) brána nebo programovatelný router pro distribuci internetu do lokální sítě. Je uvažován příklad se dvěma síťovými kartami v distribučním (bránovém) PC.
Pokud to nezadáte a poskytovatel vám automaticky nevysílá ns servery, pak jednoduše nebudete moci pracovat na internetu nebo pingovat externí zdroje. Obecně to zkuste!
Nezapomeňte znovu načíst rozhraní, abyste použili nastavení, nebo restartujte počítač, pokud se rozhraní odmítnou znovu načíst pomocí příkazu.
Stroj je tedy dostupný v interní síti, na samotném stroji máme internet (lze to snadno zkontrolovat, přihlásit se k němu například přes ssh a ping Yandex). Jak nyní můžeme distribuovat internet do místní oblasti? Snadné jako koláč! Použijme speciální pseudo grafická utilita arno firewall.
apt-get install arno-iptables-firewall
P.s. Chcete-li později znovu nakonfigurovat bránu firewall a přidat nové porty, zadejte například příkaz:dpkg-reconfigure arno-iptables-firewall
Okamžitě se objeví pěkné okno, které vás a mě požádá, abychom nakonfigurovali firewall, který bude chránit naši síť zvenčí a vysílat internet do místní oblasti. Firewall vás požádá o zadání externích a interních síťových rozhraní, pokud používáte například připojení IP nebo jakékoli připojení pomocí modemu, zadejte kromě názvu rozhraní také název připojení.
Pro dotazy od DHCP odpověď ano , NAT - povolit ano, zda chcete pingnout zvenku, jak chcete, pokud chcete přistupovat do kanceláře/domova zvenčí, tak ano, jinak ne. Dále budete požádáni, abyste uvedli, které porty mají být otevřeny pro připojení TCP a UDP (příchozí a odchozí provoz). Každý program má zpravidla svůj vlastní port, který je uveden v nápovědě k němu, a existuje také sada standardních portů. 80 / 8080 https, 22 FTP, 21 SSH a tak dále. Otevřete porty, které potřebujete. Ještě jednou upozorňuji na to, že pokud se nějaký program pokusí něco stáhnout/nahrát přes zde neuvedený port, tak nic nebude fungovat.
Čísla portů jsou oddělena mezerami a rozsahy jsou odděleny dvojtečkou mezi čísly (bez mezery). Ujistěte se také, že položky portů jsou podobné pro karty UDP i TCP, jinak dojde k incidentům v duchu skutečnosti, že program odesílá informace, ale nemůže je přijímat – a naopak.
Dále budeme dotázáni na CIDR a pravidla vnitřní podsítě. Naše vnitřní podsíť je 192.168.0.0/24 (tam zadáme), tato položka umožní všem počítačům v síti 192.168.x.x přijímat externí informace. Internet můžete také poskytnout pouze vybraným počítačům nebo zařízením s konkrétními síťovými adresami přímo tam, s přísným omezením adresování.
Stalo se toto: na počítači v místní síti jsem výslovně uvedl adresu a nastavil bránu k našemu distribučnímu počítači-routeru s adresou 192.168.0.1, na klientský počítač jsem nainstaloval NS server a nainstaloval poskytovatele a Google NS servery (adresa 8.8.8.8). A voila, je na tom internet.
Když jsem se však pokusil připojit k síti se zařízením, které nemohlo nastavit vlastní adresu a bránu, byl jsem v průšvihu! Distribuci adres jsme nenastavili. A to je v dalším článku - servery.
Tento článek vám řekne, jak používat iptables ke konfiguraci systémů s Ubuntu 9.10-11.04, Debian 5 a 6 pro distribuci internetu do dalších počítačů v místní síti. Na jednoduchý příklad Bude ukázáno, jak ze stroje se dvěma síťovými rozhraními (do jednoho přichází internet a z druhého „odchází“) udělat bránu.
Předpokládejme, že hardwarová a síťová část je již plně nakonfigurována, váš počítač má funkční internet a vidíte další počítače v síti. Pojďme tedy zjistit, co je co, k tomu zadejte příkaz:
ifconfig
Zobrazí seznam aktuálně spuštěných síťových rozhraní. Mezi nimi musíte identifikovat ty, které začínají slovy „Link encap: Ethernet“ - jedná se o rozhraní síťových karet. Obvykle se jedná o eth0 a eth1.
Nyní budete muset určit, ze kterého z nich internet pochází a ze kterého „odchází“. Nejjednodušší způsob, jak to udělat, je pomocí jejich IP adres.
Řekněme tedy, že získáte internet přes eth0 (například přes adsl modem používající protokol ppp) a eth1 vás připojí k místní síti.
Pokud je místní síť konfigurována pomocí Správce sítě, pak doporučujeme zaregistrovat tato nastavení přímo v systému konfigurační soubor sítě:
sudo nano /etc/network/interfaces
Zde odpovídajícím způsobem opravte nastavení vašeho síťového rozhraní připojeného k místní síti (v našem případě eth1):
auto eth1 iface eth1 inet statická adresa 192.168.0.10 maska sítě 255.255.255.0 síť 192.168.0.0 vysílání 192.168.0.255
Hodnota adresy je IP vašeho počítače v místní síti, brána bude ve skutečnosti umístěna na této adrese.
Hodnota masky sítě je v místních sítích pro tento rozsah nejčastěji tato. Pro ostatní rozsahy můžete vypočítat zde.
Hodnoty sítě a vysílání budou záviset na vaší adrese. To znamená, že pokud je vaše místní IP adresa 10.0.0.10, pak síť a vysílání budou 10.0.0.0 a 10.255.255.255.
Nebo to lze provést pouze jedním příkazem:
sudo ifconfig eth1 192.168.0.10
Tento příkaz nezávisle nakonfiguruje vaši síťovou kartu eth1 tak, aby používala statickou IP adresu, a nezávisle zapíše výše popsaná nastavení do souboru /etc/network/interfaces
V každém případě po těchto změnách restartujte síť:
sudo /etc/init.d/networking restart
Podle týmu:
ifconfig
zkontrolujte, zda se změny projevily a vše funguje.
Teď už zbývá udělat jen malý kousek. Pokud jste se již pokusili nakonfigurovat svůj systém s bránou, ale nefungovalo to, nebo z nějakého jiného důvodu chcete resetovat všechna nastavení brány firewall iptables, můžete to provést pomocí následujících příkazů:
iptables --flush iptables --table nat --flush iptables --delete-chain iptables --table nat --delete-chain
Pokud není přímá potřeba resetovat nastavení iptables, je lepší to nedělat.
Následující příkazy nakonfigurují vaše iptables pro překlad NAT (NAT, Network Address Translation - "conversion síťové adresy") přes bránu Ubuntu:
sudo iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT sudo POSTRIPtables -A -t nat -j MASKÁRA
Pokud se požadovaná síťová rozhraní liší od eth0 a eth1, jednoduše podle toho změňte první řádek.
Pokud je vaše místní síť mimo rozsah 192.168.x.x, můžete snadno vypočítat masku podsítě, která bude uvedena v prvním řádku pomocí Síťová služba Kalkulačky.
Chcete-li nyní nakonfigurovat bránu pro směrování mezi dvěma rozhraními, musíte povolit předávání IP pomocí příkazu:
sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
A poslední dotek: musíte upravit soubor sysctl.conf:
sudo nano /etc/sysctl.conf
Chcete-li aktivovat směrování, přidejte k němu tyto dva řádky:
net.ipv4.conf.default.forwarding=1 net.ipv4.conf.all.forwarding=1
Poté je vaše brána Ubuntu připravena k použití. Můžete přizpůsobit klientské stroje. V našem příkladu pro ně bude brána 192.168.0.10
Pokud všechny změny, které jste provedli, fungují správně a chcete tato nastavení provést při spuštění (konkrétně výše uvedené nastavení iptables ztratit aktivitu po restartování systému), poté uložte aktuální pracovní konfigurace iptables do souboru s příkazem:
sudo sh -c "iptables-save > /etc/iptables.up.rules"
Poté v samotném souboru nastavení sítě /etc/network/interfaces (sudo nano /etc/network/interfaces) přidejte řádek do popisu vašeho síťového rozhraní, ze kterého k vám přichází internet (v našem případě eth0) :
pre-up iptables-restore< /etc/iptables.up.rules
To znamená, že to bude vypadat nějak takto:
auto eth0 iface eth0 inet ruční pre-up iptables-restore< /etc/iptables.up.rules
Jen neměňte hodnoty v řádku iface, pouze přidejte zadaný řádek poslední v sekci auto eth0. Poté, když restartujete, uložená nastavení iptables se automaticky obnoví.
