Qué Linux instalar para la puerta de enlace. Configuración de una puerta de enlace para una red local doméstica en Ubuntu Linux. Configurar una puerta de enlace a Internet en Linux

Dado: 1. Computadora con dos tarjetas de red. 2. Distribución Linux Debian o Ubuntu. (Aun así lo recomendaría para un servidor Debian) 3. Manos directas y cabeza fresca.

¡Así que comencemos!
En primer lugar, instalemos Linux en su computadora, especificando todas las configuraciones de red. Recomiendo instalar Debian, y cuando se nos solicite tenemos una opción. paquetes requeridos, instalaremos solo los componentes principales del sistema y openssh-server. Eso es todo, no necesitamos nada más para operar la puerta de enlace en Linux. Ninguno conchas gráficas. Lo instalaremos directamente y luego podrá conectarse a través de ssh para controlar servidor remoto, o si el teclado, el mouse y el monitor no están conectados. Instalar Debian en una computadora no es muy diferente de instalar Ubuntu.

Habiendo instalado Linux en una computadora, debemos convertirla en una puerta de enlace. Para hacer esto, debe poder hacer algo.
1. Pase paquetes de red a través de usted mismo. (ADELANTE)
2. Traducir direcciones de red (convertir direcciones de red local en 1 dirección externa bajo la cual el usuario accederá a la red). En otras palabras, la puerta de enlace permite a los usuarios de la red local pasar a través de ella con su propia dirección. puedes llamarlo enrutador de software o como quieras. Este servicio se llama NAT (Traducción de direcciones de red).

Pero primero lo primero. Primero, configuremos las interfaces de red. Usted toma la configuración de la red local de usted mismo y la configuración de Internet de su proveedor. Si accede a Internet no mediante autorización de IP, sino mediante una conexión xDSL, utilice la utilidad pppoeconf.

Imaginemos que tenemos 2 interfaces de red configuradas. Estos son locales (eth0) y externos (eth1). Hay Internet en la puerta de enlace, Yandex hace ping, Google también hace ping allí. Casi la última tarea es hacer que nuestra puerta de enlace Linux permita que todos accedan a Internet a través de sí misma. Aquí quiero señalar que Linux tiene su propio firewall y se llama iptables. De forma predeterminada, iptables funciona de esta manera: "¡No dejaré entrar a nadie excepto a través de las conexiones iniciadas por mí!" Pero eso no funcionará) Por lo tanto, configuramos iptables:

Vamos:
1. Cree un archivo llamado firewall.sh en la carpeta /etc/init.d/

# toque /etc/init.d/firewall.sh

2. Damos derechos de lanzamiento

# chmod 755 /etc/init.d/firewall.sh

3. Agregue nuestro script al inicio. Por si acaso:)

# valores predeterminados de update-rc.d firewall.sh

4. Bueno, en realidad editamos nuestro guión.

#nano /etc/init.d/firewall.sh

Dejemos que el kernel entienda que este es el script real.sh.

# !/bin/sh (aquí mismo, junto con el símbolo # y ¡escribe dentro! Este es el tipo de comentario que necesita el kernel)

Habilitemos el reenvío en Linux.

echo 1 > /proc/sys/net/ipv4/ip_forward (1 - activado, 0 - desactivado:))

Restablezcamos todas las configuraciones entrantes, salientes y reenviadas. Esto nos ayudará a deshacernos de las reglas de iptables "incorrectas" escritas en la consola. Simplemente ejecute el script y las reglas se actualizarán:

iptables -F ENTRADA
iptables -F SALIDA
iptables -F ADELANTE

Política predeterminada: reenvío permitido:

iptables -P ADELANTE ACEPTAR

Agreguemos una nueva regla posterior al enrutamiento mesa de red"nat". La lógica de la regla es la siguiente: desde la fuente de la "red local", los paquetes salientes a través de la interfaz externa deben "transmitirse" (transmitirse como uno externo), pero lo haremos enmascarar. Masquerade (MASQURADE) da la oportunidad funcionamiento correcto con una dirección IP externa dinámica. iptables -A (nueva regla) POSTROUTING (post-enrutamiento) -t (tablas...) nat (...NAT) -s (fuente - desde la fuente) 192.168.1.0/24 (red local completa) -o ( salida - vía saliente...) eth1 (...interfaz eth1) -j (trabajo - trabajo (¿qué hacer?)) MASQUERADE (disfraz). Aquellos. Esta es la regla de iptables:

iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth1 -j MASCARADA

Eso es todo. También puede agregar algo como una notificación al final del script, que indicará que el script funcionó:

reglas de firewall de eco aceptadas
Guardar y cerrar. (Si editó mediante nano, como en este artículo, presione ctrl+o (guardar) ctrl+x (cerrar)).
Ahora ejecutemos nuestro script.

/etc/init.d/firewall.sh

¿Viste el mensaje "se aceptan reglas de firewall"? ¿Hubo algún error? ¡Felicidades! ¡La puerta de enlace de Linux está lista! Ahora todas las computadoras de su red local podrán acceder a Internet, aunque sin restricciones. Y sí, si tu red no Servidores DNS, luego en la configuración del cliente debe especificar el DNS del servidor del proveedor o, por ejemplo, DNS servidor de google;) (la dirección es fácil de recordar - 8.8.8.8)

iptables -A ADELANTE -p igmp -i eth0 -o eth1 -j ACEPTAR
iptables -I ENTRADA -d 224.0.0.0/4 -j ACEPTAR
iptables -I ADELANTE -d 224.0.0.0/4 -j ACEPTAR
agregar ruta -net 224.0.0.0 máscara de red 240.0.0.0 eth0
iptables -t filtro -A ENTRADA -d 224.0.0.0/240.0.0.0 -i eth0 -j ACEPTAR
iptables -t filtro -A ENTRADA -s 224.0.0.0/240.0.0.0 -i eth0 -j ACEPTAR
iptables -t filtro -A ADELANTE -d 224.0.0.0/240.0.0.0 -j ACEPTAR
iptables -t filtro -A ADELANTE -s 224.0.0.0/240.0.0.0 -j ACEPTAR
iptables -t mangle -A PREROUTING -d 224.0.0.0/240.0.0.0 -p udp -j TTL --ttl-inc 1

Entre la gran variedad sistemas linux Las distribuciones de enrutadores especializados son especialmente populares. Estas soluciones suelen ser de tamaño pequeño, sencillas y sencillas de instalar y configurar, y las funciones disponibles le permiten conectar su red doméstica/corporativa a Internet, protegiéndola de ataques y virus. Además, muchos de ellos tienen funciones de control de tráfico, bloqueo de protocolos, filtro antispam, modelador y mucho más. Por tanto, elegir “tu defensor” no es fácil. Este artículo le ayudará a encontrar el camino más rápido.

Desenreda la puerta de enlace 7.0.1

SO : Desenredar puerta de enlace 7.0.1
Sitio web del proyecto : www.untangle.com
fecha de lanzamiento: 20 de octubre de 2009
Licencia: GPL
Plataformas de hardware: x86_32
Requisitos del sistema: CPU 800 MHz, 512 MB de RAM, disco de 20 GB, 2+ NIC

La distribución Untangle, producida por la empresa del mismo nombre, es capaz de sustituir soluciones comerciales como ISA Server ( TMG de vanguardia), proporcionando acceso seguro a Internet. Untangle está diseñado para organizaciones pequeñas y medianas con entre 50 y 300 computadoras o más (los requisitos del sistema se dan para 50). Untangle se basa en Debian, todas las configuraciones se realizan mediante una interfaz clara, aunque no localizada. Para gestionar basta con comprender la esencia, un conocimiento profundo. sistemas unix en situaciones normales esto no será necesario. A diferencia de otras soluciones que utilizan tecnologías web, la interfaz Untangle está escrita en Java, por lo que todos los cambios en la consola de administración, estadísticas de trabajo, etc. se muestran en tiempo real, lo cual es muy conveniente. Aunque tuvo que pagar por usar Java con mayores requisitos del sistema.
Untangle está diseñado como un constructor. Después de instalar el sistema base, no contiene ningún módulo de protección; el administrador selecciona de forma independiente lo que realmente se necesita, según las tareas y el equipo disponible. Puede agregar 94 paquetes (19 aplicaciones) a Untangle, que proporcionarán: enrutamiento, protección antivirus/anti-phishing/spyware, detección de ataques, análisis de protocolos (nivel 7), filtrado de contenido del tráfico web, conexiones VPN y muchos otros. funciones. Se basan en aplicaciones populares de OpenSource. Snort, ClamAV, SpamAssassin, Calamar etc. El módulo propietario "Attack Blocker", que se ofrece de forma gratuita, protege contra DoS y algunos ataques de red de bajo nivel. El filtro antispam reconoce el spam en imágenes, para lo cual se conecta al OCR. El módulo de análisis de protocolo, si es necesario, puede limitar el funcionamiento de cualquier protocolo a nivel de aplicación (P2P, IM, etc., ~100 protocolos en total), incluso si utilizan puertos no estándar.

Algunos desarrollos propietarios se distribuyen mediante suscripción: Kaspersky Anti-Virus, eSoft Web Filter, un módulo para trabajar con Active Directory, realizar copias de seguridad de la configuración, etc. Para mayor comodidad, también hay "conjuntos" de módulos listos para usar diseñados para varias redes: Educación, pequeñas empresas, profesionales., Gobierno(en diferentes opciones de entrega, también disponible mediante suscripción). módulo gratuito Informes permite al administrador recibir informes sobre todos posibles situaciones— actividad de la red, protocolos, spam y virus detectados, actividad del usuario. El resultado se puede guardar en archivos. formatos PDF, HTML, XLS, CSV y XML y enviar por correo electrónico.
La instalación de la distribución es bastante sencilla y requiere un mínimo de tiempo: tradicionalmente seguimos las indicaciones del asistente (durante la instalación, puede seleccionar el idioma ruso) y respondemos preguntas. En el camino, se comprobarán los requisitos del sistema; todas las posiciones deberían estar bien. A continuación formateamos el disco duro, el proceso es automatizado, para lo cual solo es necesario presionar el botón “ Continuar«.
Después del reinicio, se activa el asistente, cuya tarea es ayudar a configurar la puerta de enlace. En la lista de idiomas propuestos, sólo el inglés es comprensible; el ruso ya no está aquí. A continuación, escribimos secuencialmente la contraseña para cuenta admin, seleccione la zona horaria, ingrese la información de registro (se requiere correo electrónico y número de computadoras). Después de esto, el sistema reconoce las tarjetas de red y las asigna - Externa/Interna (si hay una tercera interfaz de red se puede organizar una zona desmilitarizada sin ningún problema). Con el mouse se puede corregir la asignación, pero es imposible determinar en qué tarjetas se proporciona la información disponible. Indicamos el tipo de conexión a Internet (DHCP, PPPoE, Estática), para comprobarlo pulsamos “ Prueba de conectividad". En el paso " Red Interna"Deberás elegir una de dos opciones para usar Untangle: Puente transparente o Enrutador. Al elegir la segunda opción, debe especificar la dirección IP de la interfaz. red interna y opcionalmente activar el incorporado servidor DHCP. Y la última etapa - enviar mensaje de prueba por correo electrónico, se utiliza SMTP interno de forma predeterminada, pero se puede especificar cualquier externo. Cuando termine, se carga la consola de administración. Hay dos pestañas a la izquierda. En Aplicaciones seleccionamos e instalamos paquetes, en Configuración realizamos configuraciones. Todo está desglosado punto por punto, por lo que es muy fácil encontrar la configuración que necesitas y resolverla. Por ejemplo, para configurar Firewall, vaya a la pestaña del mismo nombre. El sistema ofrecerá inmediatamente descargar el paquete requerido. Haga clic en " Descarga gratuita", una vez que se complete la descarga, aparecerá un acceso directo para configurar el componente en el centro de la ventana.
De la misma forma ponemos todo lo que necesitamos - Bloqueador de ataques, Control de protocolo, AbiertoVPN Informes etc. Para configurar un módulo, selecciónelo y haga clic en el botón Configuración. Por ejemplo, el Firewall ya tiene 3 reglas preparadas (bloquear conexiones entrantes en 21 puertos, bloquear y permitir conjuntos de reglas para tráfico entrante desde la red 1.2.3.0). Puedes tomarlos como base editándolos o creando tu propia regla por analogía. La regla se crea de manera muy simple, haga clic Agregar y rellene los campos correspondientes. Aquí en la subpestaña " Registro de eventos»puedes ver eventos relacionados.
Si cerramos la ventana del cliente web, el escritorio aparecerá frente a nosotros. Hay varios atajos en el panel, cuyo propósito es más personaje auxiliar— iniciar y detener el protector de pantalla, restaurar, cambiar la resolución, etc.

Comunidad de cortafuegos Endian 2.3

SO: Comunidad de cortafuegos Endian 2.3
Sitio web del proyecto: www.endian.com/en/community/overview/
fecha de lanzamiento: 27 de octubre de 2009
Licencia: GPL
Plataformas de hardware es: x86_32
Requisitos del sistema: CPU 166 MHz, 64 MB de RAM, 2 GB

El Endian Firewall (EFW) se basó originalmente en el IPCop Firewall, en el que los desarrolladores decidieron reforzar las características de seguridad y la usabilidad de la interfaz. Hoy queda poco de la familia y EFW se basa en CentOS e incluye conjunto completo medios de protección contra amenazas externas, lo que nos permite catalogarlo como un sistema UTM (Unified Threat Management). Este con estado filtro de paquetes (netfilter), IDS/IPS (Snort), filtro de contenido, escaneo antivirus del tráfico HTTP/FTP/POP3/SMTP, protección antispam, módulos antispoofing y antiphishing. Las políticas de filtrado y enrutamiento le permiten especificar casi toda la información relevante: protocolo, puerto, interfaz de red, direcciones IP y MAC. Es posible configurar ACL para sitios a través de HTTP Proxy (transparente u opaco) con referencia al usuario, grupo, dirección, agente de usuario y hora. Filtro de contenido contiene configuraciones listas para usar para más de 20 categorías y subcategorías.
La conexión a Internet se realiza a través de Ethernet, PPPoE, ADSL (USB, PCI), RDSI, módem, incluido 3G. Puede asignar varias direcciones IP a una interfaz externa (aliasing de IP). Además de la autenticación de usuario local (NCSA), se proporciona soporte para Active Directory, LDAP y RADIUS. Agreguemos a esta lista la creación y administración de VLAN, administración completa de QoS y soporte SNMP. Como parte de EFW encontramos dos aplicaciones para organizar una reunión segura Conexiones VPN— OpenVPN y Openswan/Pluto (implementación de IPsec para Linux).
Se mantienen estadísticas sobre conexiones, tráfico y experiencia de usuario. Cuando ocurren ciertos eventos, se envía un mensaje al correo electrónico del administrador.


El archivo cifrado con la configuración se realiza una copia de seguridad en una unidad flash USB o se envía por correo electrónico, de modo que, si es necesario, puede restaurar el funcionamiento de la puerta de enlace con solo un par de clics del mouse.
El sistema se puede controlar desde la línea de comandos o mediante una interfaz web localizada.
La instalación se realiza mediante un asistente con interfaz pseudográfica y es bastante sencilla para un usuario inexperto. Arrancamos y confirmamos el formateo del disco, luego de lo cual el sistema comenzará a copiar cuando lo solicite, indique la dirección IP de la interfaz VERDE (interna); Esa es toda la instalación. Después del reinicio, los datos para el registro vía web se mostrarán en la consola ( http://dirección-ip/ o https://dirección-ip:10443). El menú de consola propuesto le permite salir al shell y establecer una contraseña de cuenta raíz(para SSH) y administración(web). Al escribir la dirección proporcionada en el navegador y seguir varios pasos, completamos la instalación: seleccionamos el idioma (el ruso está disponible), la zona horaria y aceptamos los términos. licencias GNU GPL. A continuación, el asistente sugiere importar la configuración desde la copia de seguridad, decimos “ No"y especifique las contraseñas para root y admin.
Ahora es el turno" Asistentes de configuración de red“, simplificando el proceso de conexión a la red. Con él, debe seguir 8 pasos, por ejemplo, seleccionar el tipo de conexión de interfaz ROJA (externa) y observar si hay Wi-Fi disponible(AZUL) y DMZ (NARANJA). Si es necesario, cambie la configuración VERDE; es posible "reasignar" la tarjeta y especificar alias, configurar el nombre del host. Repetimos esta operación de manera similar para otras interfaces, ingresamos las direcciones de los servidores DNS principal y de respaldo, y el correo electrónico del administrador. Todo. Después de registrarnos con credenciales de administrador, llegamos a pagina de inicio Consola de gestión, que muestra gráficos de tráfico actualizados en tiempo real, datos sobre el estado de los servicios y carga del sistema. Hay muchas configuraciones, pero todas están distribuidas con éxito en grupos, cuyos nombres hablan por sí solos: Sistema, Estado, Red de computadoras, Servicios, Cortafuegos, Proxy, VPN y Eventos. Por lo tanto, hacer frente a configuraciones adicionales EFW es bastante simple.

Cortafuegos IPCop 1.9.8

SO: Cortafuegos IPCop 1.9.8
Sitio web del proyecto: www.ipcop.org
fecha de lanzamiento: 29 de octubre de 2009
Licencia: GPL
Plataformas de hardware: x86_32
Requisitos del sistema: Intel Pentium II 233 MHz, 64 MB de RAM, 2 GB

La versión IPCop 0.1.1 (2002) se basó en SmoothWall 0.9.9, luego el proyecto cambió completamente a LFS y hoy hay poco que decir sobre la relación. La distribución está dirigida al mercado SOHO ( Oficina Pequeña, Home Office), por lo que la tarea principal de los desarrolladores es hacer que la interfaz sea cómoda y sencilla. El paquete contiene todo lo que necesita para organizar una puerta de enlace segura: filtro de paquetes, IDS/IPS, proxy web y DNS, servidor/cliente DHCP, Openswan, OpenVPN, limitación de tráfico, servidor NTP. Implementado control de conexiones a través de un proxy web por direcciones IP y nombre del sistema.
Todo lo que falta en el paquete básico está disponible en complementos ( sf.net/apps/trac/ipcop/wiki/Addons), que son desarrollados y respaldados, por regla general, por programadores externos. Aquí ya encontramos el filtro de URL, avanzado configuración del cortafuegos, comprobar el tráfico web y SMTP en busca de virus y mucho más. Como en EFW, las interfaces tienen colores: VERDE, ROJO, NARANJA (DMZ), etc. La interfaz externa admite conexiones a través de Ethernet (estática, DHCP), PPTP, PPPoE, ISDN, así como a través de una conexión de módem. Algunas operaciones (conexión, desconexión, actualización, etc.) se pueden realizar según una programación.
Hasta hace poco versión estable se consideró 1.4.20 (con una actualización a 1.4.21), hoy se está desarrollando activamente la versión de IPCop v2 y nos familiarizaremos con la versión 1.9.8.
No sólo se pueden descargar ISO tradicionales (tamaño 50 MB), sino también imágenes para arranque de red, instalación en una unidad flash USB/disco duro y algunos otros.
El proceso de instalación se realiza en una consola pseudográfica y es muy sencillo. Cuando termine, escriba la dirección en el navegador. https://gateway_ip:8443/. Para localizar la interfaz, vaya a Sistema - Configuración de GUI y seleccione ruso de la lista.
La consola de gestión es bastante sencilla. Hay 7 pestañas en la parte superior ( Sistema, Estado, Red, Servicios, Firewall, VPN, Registros), cuando pasa el mouse sobre cualquier elemento, aparecen subelementos. Por ejemplo, para configurar OpenVPN, vaya a la pestaña deseada, donde al marcar " OpenVPN en RED“Activamos el servidor.


Ahora indicamos opciones adicionales(Dirección IP de redes externas e internas, protocolo, algoritmo de cifrado, compresión de datos transmitidos mediante la biblioteca LZO, etc.) Vaya a " Opciones avanzadas de servidor» le permitirá afinar el trabajo Servidores OpenVPN. También justo en " Cortafuegos - Reglas del cortafuegos»Se configuran las reglas de filtrado de paquetes. Seleccione el tipo de regla ( Tráfico saliente, reenvío de puertos, acceso IPCop, acceso IPCop externo) y complete los campos proporcionados.

SmoothWall Express 3.0 SP1 “Polar”

SO: SmoothWall Express 3.0 SP1
Sitio web del proyecto: smoothwall.org
fecha de lanzamiento: 8 de enero de 2009
Licencia: GPL
Plataformas de hardware: x86_32, x86_64
Requisitos del sistema: Intel Pentium 166 MHz, 32 MB de RAM, disco duro de 2 GB

El proyecto, surgido a mediados del año 2000, se fijó como objetivo convertir computadora obsoleta en una puerta de enlace completa con funciones de seguridad, cuya configuración podría manejarse usuario habitual. La iniciativa fue un éxito. En los primeros meses, se descargaron varias decenas de miles de copias de SourceForge. Aunque es una cómoda interfaz web, IDS/IPS y algunos otros características útiles SmoothWall se introdujo un poco más tarde (a partir de la versión 0.9.9). Y entonces SmoothWall tiene todo lo que necesita: firewall, reenvío de puertos, Soporte VPN, proxy Web/DNS/SIP/POP3, proxy IM (MSN/AIM/ICQ/Yahoo) con filtros listos para usar y registro de tráfico (basado en IMSpector), servidor DHCP, NTP, soporte QoS. Es posible instalar acceso a Internet para ciertas direcciones dependiendo de la hora del día. Si es necesario, el tráfico se analiza con el antivirus Clamav.
Como en las dos distribuciones anteriores, se admiten hasta 4 conexiones de red: WAN, LAN, DMZ, Wi-Fi. La interfaz “roja” se puede asignar a: conexión Ethernet (estática, DHCP), PPPoE, RDSI, ADSL o módem.
La versión 3.0 se lanzó a finales de 2007; hoy está disponible la última versión con SP1. Además de ISO (x86, x86_64), en pagina separada Imagen de VMWare disponible.
La instalación es bastante sencilla, pulsamos en Aceptar varias veces y listo, el procedimiento está completo. A continuación se encuentran las configuraciones principales: diseño, nombre de host y elección de la política de tráfico saliente:

— Abierto- todo tráfico saliente permitido;
— Medio abierto— se permiten conexiones sólo en los puertos principales, se bloquean las conexiones potencialmente peligrosas;
— Cerrado— todas las conexiones salientes están bloqueadas.

Luego configuramos el tipo de red. Se ofrecen varias combinaciones de interfaces y tipos de conexión (VERDE + ROJO, VERDE + ROJO + NARANJA, etc.) Luego distribuimos dispositivos de red Según su finalidad, indicamos las direcciones de las interfaces (cuando sea necesario) y las direcciones de la puerta de enlace y del servidor DNS. Especificar una contraseña para los usuarios raíz Y administración. Después del reinicio, para realizar más instalaciones, abra el navegador y escriba http://dirección-ip:81/ o https://dirección-ip:441.


La interfaz web no está traducida, pero es bastante sencilla. Seleccione una de las pestañas principales ( Control, Acerca de, Servicios, Redes, VPN, Registros, Herramientas, Mantenimiento) y obtener acceso a la configuración. Por defecto Snort no está activado, debes ir a Servicios - IDS, marque la casilla " Bufido"y entrar" código gruñido". Las reglas del firewall se configuran en Redes, seleccione la dirección deseada (por ejemplo, saliente) y complete los campos propuestos. Usando AJAX permite al administrador ver gráficos de carga de canales en tiempo real (pestaña Acerca de). Las estadísticas de tráfico están disponibles para cualquier dirección IP, durante cualquier período de tiempo. El kit de distribución se actualiza presionando un botón en Mantenimiento - Actualizaciones.

Vyatta CE 5

SO: Vyatta Comunidad Edición 5.0.2
Sitio web del proyecto: www.vyatta.org
fecha de lanzamiento: 9 de marzo de 2009
Licencia: GPL
Plataformas de hardware: x86_32
Requisitos del sistema: Intel Pentium III 450 MHz, 128 MB de RAM y 2 GB, 2+ NIC

Los desarrolladores de la distribución Vyatta decidieron competir no con nadie, sino con el propio Cisco Systems. Utilizando Debian como base, lo integraron con la plataforma de enrutamiento XORP disponible gratuitamente ( Plataforma de enrutador abierto extensible, xorp.org), que está siendo desarrollado por un grupo del ICSI (Instituto Internacional de Ciencias de la Computación) de Berkeley con financiación de gigantes como Intel y Microsoft. Al instalar Vyatta en una computadora x86, obtenemos un enrutador con funciones IDS/IPS (basado en Snort), un proxy de caché y un filtro de URL ( Calamar + CalamarGuardia), políticas de red (Políticas de acceso a la red), OpenVPN, reenvío de DNS, enlace Ethernet y Bridget Ethernet sobre ADSL (RFC 2684). Se admiten tarjetas multipuerto (T1/E1, T3, etc.) y módems inalámbricos 3G.
Las primeras versiones de Vyatta se configuraban exclusivamente mediante la línea de comandos (como los enrutadores Cisco). Luego, a partir de la versión 4, estuvo disponible una interfaz web (para estos fines se incluyó lighttpd). Se destaca especialmente el soporte de las máquinas virtuales más populares de la actualidad: VMware, Xen, Hyper-V y algunos otros hipervisores. La distribución puede funcionar con LiveCD mientras guarda la configuración en una unidad flash u otro medio (archivo config.arranque). Se puede instalar en un disco duro, llavero USB o tarjeta Compact Flash. Si tiene dos discos, el instalador le permite vincularlos automáticamente a RAID 1.
El proyecto ofrece soporte comercial y vende enrutadores con software preinstalado. Vyatta Community Edition (imágenes ISO, Citrix XenServer y VMWare) está disponible para su descarga y uso gratuitos.
El proceso de instalación es bastante sencillo, aunque se realiza mediante la línea de comandos. Regístrate como raíz con contraseña Vyatta y ejecuta el instalador:

#instalar-sistema

A continuación, confirmamos la instalación y procedemos a crear particiones. El valor predeterminado es Automático. Al ingresar "Sí", confirmamos la destrucción de los datos en el disco, indicamos el tamaño de la partición raíz (por defecto, todo el disco) y esperamos hasta que se copien los datos. Luego establece contraseñas usuarios root y vyatta, instale GRUB, luego reinicie y vaya al modo de configuración:

# configurar

Configuración de la interfaz de red:

# configurar interfaces ethernet eth0 dirección 192.168.1.1/24 # configurar interfaces ethernet eth0 descripción LAN

Habilite la interfaz web:

# establecer servicio https

Otros servicios se habilitan de la misma manera: nat, dns, dhcp-relay, dhcp-server, webproxy, ssh. La función de autocompletar está disponible en la consola: al hacer clic, obtenemos una lista valores posibles. Confirmamos todas las configuraciones.

# comprometerse

Veamos qué pasó:

# mostrar interfaces

Todas las configuraciones se pueden mostrar escribiendo mostrar todo. Salga del modo de edición usando el comando de salida. Ahora llamamos al navegador y configuramos los parámetros usando la interfaz web. Elegir la categoría deseada y hacemos clic en el botón Crear, después de lo cual completamos los campos propuestos. Botón Espectáculo en la parte superior mostrará un archivo de configuración en el que el signo "+" resaltará los parámetros agregados pero aún no activados. Para ponerlos en acción, haga clic en el botón Confirmar (cancelar - Descartar).


En mi opinión, es más fácil ingresar desde la línea de comando:

# establecer el nombre del firewall permitir la regla 10 acción aceptar # establecer el nombre del firewall permitir la dirección de origen de la regla 10 192.168.0.0/24 # establecer interfaces ethernet eth0 firewall en el nombre permitir # confirmar

Cómo configurar una regla de permiso similar utilizando la interfaz web propuesta. Sólo necesitas acostumbrarte un poco a la nueva sintaxis.

Conclusión

Cada uno elegirá al ganador por sí mismo, en función de tareas específicas. Personalmente, me gusta Vyatta por su flexibilidad y comandos tipo Cisco, Endian Firewall y Untangle por su equipamiento. Para aquellos que necesitan simplicidad en la configuración, eche un vistazo a SmoothWall e IPCop.

• Dos computadoras domésticas con Sistema operativo Linux Ubuntu, uno de los cuales tiene dos tarjetas de red
• Conexión a Internet del proveedor, que se realiza a través de pppoe(en general, la conexión a Internet puede ser cualquier cosa, no importa en absoluto)
• Dirección IP para conectarse a Internet: virtual, como 192.168.xx

Tarea

Asegúrese de que Internet esté disponible en todas las computadoras de su hogar.

Solución

Para mayor precisión, llamaremos a una computadora con dos tarjetas de red. servidor, que esencialmente será, y la otra computadora será cliente.

Para resolver un gran problema, es necesario dividirlo en muchos pequeños y resolverlo gradualmente. En nuestro caso, estas tareas se ven así:

• Configure una conexión a Internet a través de pppoe en el servidor
• Configure una conexión entre las computadoras domésticas (servidor y cliente), esta será una red local doméstica
• Configure una puerta de enlace, es decir, transmita paquetes entre su red local doméstica e Internet.

Actualmente tenemos las siguientes interfaces de red en nuestro servidor: bucle local mira, primera tarjeta de red eth0 y una segunda tarjeta de red eth1. Nuevamente, para ser más precisos, asumiremos que eth0- esta es una tarjeta de red con Internet (el cable del proveedor está conectado a ella), y eth1- una tarjeta de red con un cable de red local doméstico, es decir, con un cable de una segunda computadora, del cliente.

Casi todas las configuraciones se realizan en el servidor.

Configurar una conexión a Internet a través de pppoe

Ejecute en la consola como superusuario:

Comenzará el procedimiento de configuración, en el que tendremos que responder varias preguntas. El procedimiento es claro y no muy complicado. Más importante aún, después de la configuración tendremos una nueva interfaz de red: ppp0.

Interfaz de red ppp0 funciona en la interfaz eth0. Se puede activar y desactivar con los siguientes comandos:

# habilitar la interfaz con configuraciones previamente especificadas: pon dsl-provider # deshabilitar la interfaz: poff

Cuando se enciende ppp0 todas las configuraciones de red necesarias nos las transfiere el proveedor, o mejor dicho, su servidor pppoe. Para utilizar sin problemas la red local del proveedor en ausencia de Internet, debe realizar algunos gestos más.

Configurando la interfaz eth0.

Archivo /etc/red/interfaces

Auto eth0 iface eth0 inet static # Configuración de conexión emitida por el proveedor: dirección dirección_ip máscara de red máscara_subred puerta de enlace dirección_puerta_ip...

Registramos las direcciones DNS del proveedor para poder tener acceso a recursos locales por nombre.

Archivo /etc/resolv.conf

# Nuevamente la configuración del proveedor: servidor de nombres dirección_ip_DNS1 servidor de nombres dirección_ip_DNS2

En mi caso no se necesita nada más para trabajar con el área local del proveedor.

Configurar una conexión entre computadoras domésticas

Conectamos el cliente y el servidor doméstico con un cable, preferiblemente engarzado según el diagrama. cruce. Puedes usar un parche normal; las tarjetas de red modernas pueden funcionar así.

Seleccionamos una subred para la red local doméstica, es recomendable que no se superponga con las direcciones del proveedor. Digamos esto: 10.0.0.0/24 . Esto significa que nuestras direcciones de red se verán como 10.0.0.x, Dónde incógnita- un número del 1 al 255, con máscara de subred 255.255.255.0 .

Configuramos direcciones de la subred seleccionada al cliente y al servidor. Cuando aparece la conexión entre los ordenadores seguimos adelante.

Configurar la transmisión de paquetes entre su red local doméstica e Internet

Para esta tarea usaremos las capacidades del firewall. iptables.

Verificamos la presencia de iptables en el sistema (el comando devolverá una lista de paquetes que contienen el nombre iptables):

dpkg-l | grep iptables

Y si no está, instálalo (en nombre del superusuario).

apt-get instalar iptables

Configurar iptables requiere habilidades y conocimientos bastante específicos, por lo que tenemos mucha suerte de que exista un paquete para sistemas tipo Debian (y Ubuntu es solo uno de ellos). cortafuegos-arno-iptables. Instalémoslo, también en nombre del superusuario.

apt-get instalar arno-iptables-firewall

Incluso durante el proceso de instalación, el programa requerirá que ingreses datos para la configuración. Pero esta configuración es preliminar y las respuestas a las preguntas formuladas no serán suficientes. Para configurar iptables por completo, deberá ejecutar el comando de reconfiguración:

dpkg-reconfigure arno-iptables-firewall

Al reconfigurar, las ventanas de aviso duplicarán parcialmente las que aparecieron durante la instalación. En cualquier caso, eche un vistazo a las capturas de pantalla a continuación.

Se puede crear una configuración de firewall básica que sea adecuada para la mayoría de los propósitos respondiendo algunas preguntas. Esta opción será preferible para aquellos que no se sienten seguros de la configuración de su firewall.

Si responde que no, el firewall no funcionará hasta que cambie manualmente los ajustes en su configuración.

¿Quiere configurar un firewall utilizando el Configurador de paquetes?

Sí, por supuesto que sí.

Las interfaces de red externa conectan la máquina local a redes inseguras (por ejemplo, Internet). El firewall solo permitirá conexiones que estén explícitamente especificadas por las combinaciones de puerto de origen/destino en esas interfaces. tienes que preguntar todo interfaces externas(por ejemplo, eth0 y/o ppp0).

Para una interfaz ppp que aún no existe, puede usar una máscara de dispositivo llamada "ppp+", ¡pero usar ppp+ solo es posible cuando no hay otras interfaces ppp!

Si no se especifica ninguna interfaz, no se cambiará ninguna configuración del firewall.

Una advertencia de que en la siguiente ventana deberá especificar todas las interfaces externas separadas por un espacio.

Interfaces de red externas:

En nuestro caso es ppp0 Y eth0. Interfaz ppp0 existe y se utiliza cuando Internet está encendido, eth0 para el área local del proveedor.

Esta computadora puede usar DHCP para obtener una dirección de su proveedor de servicios de Internet (ISP). Esto casi siempre es cierto si utiliza una conexión no persistente (por ejemplo, un módem).

Si usando DHCP no se especifica explícitamente, el firewall bloqueará todos tráfico de red asociados con solicitudes DHCP.

Si no está seguro, deje esta configuración habilitada.

¿Las interfaces externas utilizan DHCP?

¿Nuestro servidor recibe una dirección externa vía DHCP o es estática? En nuestro caso concreto esto no importa, pero elijamos la dinámica.

Indique los números de puerto TCP de los servicios a los que debería poder accederse desde el mundo exterior. Los números de puerto más utilizados son 80 (http), 443 (https) o 22 (ssh).

Abierto puertos externos TCP:

¿Qué puertos TCP abrimos para Internet? En la gran mayoría de los casos, especialmente en el nuestro -ninguno-, dejamos el campo vacío.

La política de firewall predeterminada es bloquear todas las conexiones entrantes a interfaces externas. Si esta computadora proporciona servicios al mundo exterior(por ejemplo, es un servidor web de Internet), deben especificarse explícitamente.

Por favor indique los números de puerto servicios UDP, que debe ser accesible desde el mundo exterior.

Puede especificar no solo un puerto, sino también un rango (por ejemplo, 10000:11000). Varias entradas deben estar separadas por un espacio.

En caso de duda no introduzcas nada.

Abrir puertos UDP externos:

En definitiva, lo mismo para los puertos UDP.

Para aumentar la seguridad, el firewall se puede configurar para ignorar las solicitudes de transmisión ICMP (pings). A veces esto puede ser útil (a primera vista el host parece estar apagado), a veces puede ser lo contrario (dificulta el diagnóstico, por la misma razón).

En caso de duda, deje la configuración desactivada.

¿Debería la computadora hacer ping desde el mundo exterior?

Elegimos si es posible hacer ping al servidor desde Internet.

Las interfaces de red interna conectan esta computadora a redes confiables (por ejemplo, la oficina o el hogar). El firewall permitirá todos los intentos de conexión entrante en estas interfaces. Si define estas interfaces, puede proporcionar a las redes internas acceso a Internet a través de esta máquina. Si no existen tales interfaces, deje el campo en blanco.

Se pueden especificar varias interfaces utilizando un delimitador de espacio.

Interfaces internas:

Seleccionamos la interfaz de red interna, tenemos esto eth1, como acordamos antes.

Debe especificar subredes que estén conectadas a interfaces de red internas. Los hosts en redes internas pueden conectarse a todos los servicios en una computadora determinada.

Configure subredes según las reglas CIDR (por ejemplo, 192.168.1.0/24). Si tiene varias redes internas, especifique cada una separada por un espacio.

Redes internas:

Configuramos la subred de nuestra área local de origen.

Si las redes internas conectadas deben poder acceder al mundo exterior (como Internet) a través de un firewall, se debe habilitar el enmascaramiento (NAT).

En caso de duda, deje esta configuración desactivada por motivos de seguridad.

¿Quieres habilitar NAT?

Lo más importante. Transmisión de paquetes por Internet, por el cual se inició todo esto. Definitivamente lo activamos.

Si desea restringir el acceso a redes externas, puede definir subredes internas permitidas según las reglas CIDR (por ejemplo, 192.168.1.0/24). También puede definir nodos individuales por sus direcciones IP. Si tiene muchas redes internas y/o hosts, puede especificarlos separados por espacios.

Si se deja en blanco, se configura automáticamente en la red interna. En este caso, TODA la red interna tendrá acceso a redes externas, así que tenga cuidado de configurar solo aquellas redes que necesitan tener acceso al mundo exterior.

En caso de duda, no introduzcas nada.

Un aviso de que ahora tendremos que introducir direcciones de red local a las que se les permitirá acceder a Internet.

Redes internas con acceso a redes externas:

Configuramos las direcciones permitidas, en nuestro caso es toda la subred.

Por motivos de seguridad, la nueva configuración del firewall no se aplica automáticamente. Es posible que desee comprobar la configuración de su firewall en /etc/arno-iptables-firewall/firewall.conf, especialmente después de actualizar la versión, ya que las variables pueden cambiar.

En caso de que necesite aplicar la nueva configuración del firewall manualmente antes del próximo reinicio, ingrese: " invoke-rc.d arno-iptables-firewall inicio".

Si no necesitas verificación manual, la configuración del firewall se puede aplicar ahora.

¿Debería (re)iniciarse el firewall ahora mismo?

Sí, seguro. Por qué no.

Adición del 27/03/2011

Según numerosas solicitudes de los trabajadores: "".

¿Y ahora qué?

Ahora tenemos una puerta de enlace casi completa en Ubuntu y acceso a Internet desde nuestra red local doméstica.

Si necesita conectar no dos, sino más máquinas a Internet, utilizamos un conmutador en lugar de un cruce y asignamos direcciones en el rango de 10.0.0.3 a 10.0.0.255.

Puede utilizar el método en organizaciones, pero es mejor crear una puerta de enlace en Debian y registrar las tablas de iptables manualmente.

Entonces nuestra tarea es convertir una computadora en un gestión debian/ Ubuntu (escribiré para Debian) una puerta de enlace o enrutador programable para distribuir Internet a una red local. Se considera un ejemplo con dos tarjetas de red en una PC de distribución (puerta de enlace).

Si no especifica esto y el proveedor no le transmite automáticamente los servidores ns, simplemente no podrá trabajar en Internet ni hacer ping a recursos externos. En general, ¡pruébalo!

No olvide recargar las interfaces para aplicar la configuración, o reiniciar la máquina si las interfaces se niegan a recargarse correctamente mediante el comando.

Entonces, la máquina está disponible en la red interna, tenemos Internet en la propia máquina (es fácil de verificar, inicie sesión a través de ssh y ping Yandex, por ejemplo). ¿Cómo podemos distribuir Internet al área local ahora? ¡No podría ser más fácil! Usemos un pseudo especial utilidad gráfica arno cortafuegos.

apt-get instalar arno-iptables-firewall

PD. Para luego reconfigurar el firewall para agregar nuevos puertos, por ejemplo, ingrese el comando:dpkg-reconfigure arno-iptables-firewall

Inmediatamente aparecerá una bonita ventana, pidiéndonos a usted y a mí que configuremos un firewall que protegerá nuestra red desde el exterior y transmitirá Internet al área local. El firewall le pedirá que especifique las interfaces de red internas y externas si está utilizando, por ejemplo, una conexión IP o cualquier conexión de módem, además del nombre de la interfaz, especifique también el nombre de la conexión.

Para preguntas de DHCP responde si , NAT - habilitar sí, si quieres hacer ping desde el exterior, como desees, si quieres acceder a la oficina/casa desde el exterior, entonces sí, en caso contrario no. A continuación, se le pedirá que indique qué puertos deben abrirse para las conexiones TCP y UDP (tráfico entrante y saliente). Como regla general, cada programa tiene su propio puerto, que se indica en la ayuda correspondiente, y también hay un conjunto de puertos estándar. 80/8080 https, 22 FTP, 21 SSH, etc. Abra los puertos que necesite. Llamo su atención una vez más sobre el hecho de que si algún programa intenta descargar/cargar algo a través de un puerto no especificado aquí, nada funcionará.

Los números de puerto están separados por espacios y los rangos están separados por dos puntos entre los números (sin espacios). También asegúrese de que las entradas de los puertos sean similares para las pestañas UDP y TCP; de lo contrario, habrá incidentes en el sentido de que el programa envía información pero no puede recibirla, y viceversa.

A continuación se nos preguntará sobre CIDR y las reglas de subred interna. Nuestra subred interna es 192.168.0.0/24 (ingresamos esto allí), esta entrada permitirá que todas las computadoras en la red 192.168.x.x reciban información externa. También puede proporcionar Internet solo a computadoras o dispositivos seleccionados con direcciones de red específicas, especifíquelas allí mismo, limitando estrictamente el direccionamiento;

Lo que sucedió es esto: en una computadora en la red local, especifiqué explícitamente la dirección y configuré la puerta de enlace a nuestra computadora-enrutador de distribución con la dirección 192.168.0.1, instalé el servidor NS en la computadora cliente e instalé el proveedor y Google. Servidores NS (dirección 8.8.8.8). Y listo, Internet está ahí.

Sin embargo, cuando intenté conectarme a la red con un dispositivo que no podía configurar su propia dirección y puerta de enlace, ¡me encontré con un fastidio! No hemos configurado la distribución de direcciones. Y esto se trata en el próximo artículo: servidores.

Esta nota le indicará cómo utilizar iptables para configurar sistemas con Ubuntu 9.10-11.04, Debian 5 y 6 para distribuir Internet a otras computadoras en la red local. En ejemplo sencillo Se mostrará cómo hacer de una máquina con dos interfaces de red (Internet entra por una y "sale" por la otra) una puerta de enlace.

Supongamos que la parte de hardware y red ya está completamente configurada, que su máquina tiene Internet funcionando y puede ver otras computadoras en la red. Entonces, averigüemos qué es qué, para hacer esto, ingrese el comando:
ifconfig
Mostrará una lista de las interfaces de red actualmente en ejecución. Entre ellos, es necesario identificar aquellos que comienzan con las palabras "Link encap: Ethernet": estas son interfaces de tarjetas de red. Normalmente son eth0 y eth1.
Ahora necesitarás identificar de cuál de ellos proviene Internet y de cuál “sale”. La forma más sencilla de hacerlo es mediante sus direcciones IP.
Entonces, digamos que obtiene Internet a través de eth0 (por ejemplo, a través de un módem adsl que usa el protocolo ppp) y eth1 lo conecta a la red local.
Si la red local está configurada a través de Network Manager, le recomendamos que registre estas configuraciones directamente en el sistema. archivo de configuración redes:
sudo nano /etc/network/interfaces
Aquí, corrija la configuración de su interfaz de red conectada a la red local (eth1 en nuestro caso) en consecuencia:
auto eth1 iface eth1 inet dirección estática 192.168.0.10 máscara de red 255.255.255.0 red 192.168.0.0 transmisión 192.168.0.255
El valor de la dirección es la IP de su máquina en la red local; la puerta de enlace estará ubicada en esta dirección.
El valor de la máscara de red suele ser este en las redes locales para este rango. Para otros rangos puedes calcular aquí.
Los valores de red y transmisión dependerán de su dirección. Es decir, si su IP local es 10.0.0.10, entonces la red y la transmisión serán 10.0.0.0 y 10.255.255.255, respectivamente.

O esto se puede hacer con un solo comando:
sudo ifconfig eth1 192.168.0.10
Este comando configurará de forma independiente su tarjeta de red eth1 para usar una dirección IP estática y escribirá de forma independiente las configuraciones descritas anteriormente en el archivo /etc/network/interfaces.

En cualquier caso, después de estos cambios, reinicie la red:
sudo /etc/init.d/networking reiniciar
Por equipo:
ifconfig
comprueba que los cambios hayan surtido efecto y que todo esté funcionando.

Ahora ya queda un poquito por hacer. Si ya intentó configurar su sistema con una puerta de enlace, pero no funcionó, o por alguna otra razón desea restablecer todas las configuraciones del firewall de iptables, puede hacerlo con los siguientes comandos:
iptables --flush iptables --table nat --flush iptables --delete-chain iptables --table nat --delete-chain
Si no hay una necesidad directa de restablecer la configuración de iptables, es mejor no hacerlo.

Los siguientes comandos configurarán sus iptables para NAT (traducción de direcciones de red) direcciones de red") a través de la puerta de enlace de Ubuntu:
sudo iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT sudo iptables -A FORWARD -m conntrack --ctstate ESTABLECIDO, RELACIONADO -j ACCEPT sudo iptables -A POSTROUTING -t nat -j MASCARADA
Si las interfaces de red que necesita son diferentes de eth0 y eth1, simplemente cambie la primera línea en consecuencia.
Si su red local está fuera del rango 192.168.x.x, puede calcular fácilmente la máscara de subred para indicarla en la primera línea usando Servicio de red Calculadoras.

Ahora, para configurar la puerta de enlace para el enrutamiento entre dos interfaces, debe habilitar el reenvío de IP con el comando:
sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
Y el toque final: necesitas editar el archivo sysctl.conf:
sudo nano /etc/sysctl.conf
Agregue estas dos líneas para activar el enrutamiento:
net.ipv4.conf.default.forwarding=1 net.ipv4.conf.all.forwarding=1
Después de esto, su puerta de enlace de Ubuntu estará lista para usar. Puedes personalizar máquinas cliente. En nuestro ejemplo, la puerta de enlace para ellos será 192.168.0.10

Si todos los cambios que ha realizado funcionan correctamente y desea realizar estas configuraciones para el inicio (es decir, lo anterior configuración de iptables perder actividad después de reiniciar el sistema), luego guarde el archivo actual configuración de trabajo iptables a un archivo con el comando:
sudo sh -c "iptables-save > /etc/iptables.up.rules"
Después de esto, en el propio archivo de configuración de red /etc/network/interfaces (sudo nano /etc/network/interfaces), agregue la línea a la descripción de su interfaz de red desde la cual le llega Internet (en nuestro caso, es eth0):
restauración previa de iptables< /etc/iptables.up.rules
Es decir, se verá así:
auto eth0 iface eth0 inet preinstalación manual iptables-restore< /etc/iptables.up.rules
Simplemente no cambie los valores en la línea iface, solo agregue la línea especificadaúltimo en la sección auto eth0. Después de esto, cuando reinicie, la configuración guardada de iptables se restaurará automáticamente.