Configureer een GNU / Linux-gebaseerde router

Inhoudsopgave
Toegang tot internet (of andere netwerken als u wilt) in een LAN is het uitgangspunt voor thuis-, bedrijfs-, overheids-, enz.-netwerken. Of het nu thuis, op het werk of in een laboratorium is, het juiste beheer van middelen speelt een fundamentele rol bij het goed uitvoeren van activiteiten. Internettoegang en webgebaseerde services vormen kritieke punten bij het beheer van computerbronnen.
Een LAN-netwerk heeft een interconnectiepunt waar alle communicatie naar andere netwerken, en dus via internet, wordt "gerouteerd". Normaal gesproken installeert de internetprovider (ISP) bij binnenlandse verbindingen een apparaat dat fungeert als modem en router voor het netwerk, waardoor alle computers in het LAN toegang hebben tot internetdiensten.
Wat is een router?“Het is een apparaat dat connectiviteit biedt op het netwerklaagniveau van het ISO/OSI-model. De belangrijkste functie is om datapakketten van het ene netwerk naar het andere te verzenden of te routeren, dat wil zeggen, subnetten onderling te verbinden, waarbij per subnet een set IP-machines wordt begrepen die kunnen communiceren zonder tussenkomst van een router (via bruggen), en daarom hebben ze een ander netwerk voorvoegsels."
De routers verbinden vervolgens netwerken met elkaar; als Bob bijvoorbeeld in subnet 10.0.0.0/24 zit en Alice in subnet 20.0.0.0/24, omdat ze tot verschillende subnetten behoren, kunnen ze niet rechtstreeks communiceren. Als er een router is geïnstalleerd met toegang tot beide subnetten (bijvoorbeeld met 2 netwerkkaarten, elk geconfigureerd op elk subnet), zou Bob de router kunnen gebruiken om gegevens naar Alice te sturen en vice versa.

VERGROTEN

Elke host houdt een routeringstabel bij, waarin deze in feite verwijst naar het IP-adres van de router die deze naar een IP-adres (netwerk of host) kan routeren. In het geval van hetzelfde subnet "weet" elke host dat het rechtstreeks kan communiceren met andere systemen op het subnet zelf (omdat ze "buren" zijn op hetzelfde subnet en geen routers nodig hebben om te communiceren).
In een typisch LAN configureren hosts een IP-adres en een subnetmasker dat de adresruimte bepaalt waarmee ze contact kunnen maken zonder dat er routers nodig zijn. Als de hosts toegang tot internet moeten krijgen, wordt bovendien een standaardgateway geconfigureerd, die het IP-adres aangeeft van de router die wordt gebruikt voor internettoegang.
De configuratie van nameservers of DNS is ook belangrijk, maar voor deze handleiding zullen we Internet DNS gebruiken, bijvoorbeeld 8.8.8.8 (de openbare DNS van Google).
In het geval van de standaardgateway op een LAN biedt de router niet alleen routeringsservices, maar ook masquerading. Maskering is nodig zodat pakketten met het wan-ip-adres van de router naar het internet worden gestuurd, dat wil zeggen het ip dat de router in het subnet van de internetprovider heeft, zodat intermediaire systemen het pad van de router terug kunnen routeren, ongeacht het LAN. IP-adres dat het pakket heeft verzonden. Op deze manier kan elk LAN-subnet worden geconfigureerd met elk adres, ongeacht of andere clients het gebruiken, aangezien de router het bron-IP-adres met zijn eigen adres wijzigt voordat de pakketten worden verzonden. Wanneer een pakket "terugkomt" van internet, gebruikt de router een verbindingslogboek en "weet" hij bij welke host het pakket moet worden afgeleverd.
In een typisch LAN fungeert het ADSL-modem als router en standaardgateway voor het LAN. Het punt is dat het openbare IP-adres wordt toegewezen aan het ADSL-apparaat en toegang biedt via het configureerbare LAN-netwerk (meestal een 192.168.1.0/24-netwerk).
Hetzelfde ADSL-apparaat wijst normaal gesproken netwerkconfiguraties toe aan het LAN met behulp van DHCP, dus het is alleen nodig om de computer te configureren om automatisch een configuratie te nemen en dan werkt alles.
Afhankelijk van het modemmodel en het type internettoegang, is het mogelijk dat de modem alleen als zodanig werkt, waarbij een vereiste is dat de host die erop is aangesloten de internetverbinding tot stand brengt (bijvoorbeeld via PPPoE). In andere gevallen is het mogelijk om de modem te "routeren" om als een modem-router te fungeren en de internetverbinding zelf tot stand te brengen. Sommige providers bieden directe toegang tot het openbare netwerk en geven de client het toegewezen vaste openbare IP-adres, de standaardgateway en DNS aan. Dat het IP-adres openbaar is, bepaalt in feite dat elke host ter wereld die is verbonden met internet (zonder beperkingen) rechtstreeks contact met ons kan opnemen.
Dit is meestal het geval voor bedrijfsnetwerken en daarom wordt deze handleiding in een dergelijk scenario gepresenteerd.
Betrokken systemenLAN:
Bob:
MAC-adres: AA: BB: CC: 22: 33: 44
IP-adres: 192.168.1.2/24 (toewijsbaar via DHCP)
Besturingssysteem: Windows XP
Netwerkgateway (DNS + DHCP):
MAC-adres (LAN): AA: BB: CC: 44: 55: 66
LAN IP-adres: 192.168.1.1/24
WAN IP-adres: 200.51.2.1/30
Standaardpad met 200.51.2.2/30
Besturingssysteem: GNU / Linux Ubuntu
INTERNET:
Internetrouter:
IP1-adres: 200.51.2.2/30
IP2-adres: 180.0.0.2/16

Besturingssysteem: GNU / Linux Ubuntu 14.04
Alice (webserver):
IP-adres: 180.0.0.1/16

VERGROTEN

In de grafiek zijn de systemen rechts van de internetcloud systemen die zijn aangesloten op het openbare netwerk. Bob bevindt zich op een LAN en de router die fungeert als de standaardgateway (of Bob's LAN-standaardgateway) is het systeem waarop we ons zullen concentreren.
Deze laatste moet DHCP-services leveren aan Bob's LAN en een gateway-service (router met maskerade).
1) In eerste instantie moeten de netwerkinterfaces van de router zo worden geconfigureerd dat deze een verbinding heeft op het LAN (192.168.1.1/24) en op het internet (WAN, 200.51.2.1/30); Bewerk hiervoor het netwerkconfiguratiebestand:

 # vim / etc / netwerk / interfaces 

2) Ervan uitgaande dat eth0 de LAN-interface is en eth1 de WAN-interface, geeft u de instellingen als volgt op:

Merk op dat in het begin werd aangegeven dat de netwerkinterfaces automatisch zouden moeten optillen met de loopback-interface, door middel van de "auto" -richtlijn
Vervolgens is voor elke interface, LAN of eth0 en WAN of eth1, de netwerkconfiguratie statisch gespecificeerd.
In dit geval nemen we aan dat Bob's ISP of ISP hem het openbare IP-adres heeft toegewezen en 200.51.2.1/30 herstelt en dat zijn gateway 200.51.2.2 is.
3) Configureer de naam van de Gateway door de bestanden "/ etc / hostname" en "/ etc / hosts" te bewerken
Vervang de naam die momenteel verschijnt en zorg ervoor dat u dezelfde in beide plaatst. Voor deze tutorial heb ik "Gateway" als naam gekozen.
Loop:

 # vim / etc / hostnaam 

Voer de nieuwe naam in:

Voer vervolgens in terminal uit:

 # vim / etc / hosts 

En specificeer de naam van de router zoals hieronder weergegeven:

4) De functionaliteit voor het doorsturen van pakketten moet worden geactiveerd in de Gateway die we configureren, zodat deze als router fungeert. Uitvoeren in een Gateway-terminal:

 # vim /etc/sysctl.conf 

5) Verwijder vervolgens de regel "net.ipv4.ip_forward = 1”En herstart (om testredenen)

Voer in de terminal uit om de configuratie te testen:

 # cat / proc / sys / net / ipv4 / ip_forward 

Als de uitvoer "1" is, betekent dit dat de functie voor het doorsturen van pakketten is geactiveerd:

6) Zodra het systeem als router is geconfigureerd, voegt u maskeerfunctionaliteit toe. Met iptables Het is mogelijk om aan te geven dat het uitgaande verkeer van het LAN naar een willekeurig netwerk (internet) wordt gemaskeerd door deze Gateway.
Voer de volgende opdracht uit:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

Dit genereert het bestand "/etc/reglas-fw.sh". Verleen nu uitvoerrechten:

 # chmod + x /etc/init.d/rules-fw.sh 

Geef vervolgens met update-rc.d aan om rules-fw.sh uit te voeren bij het opstarten:

 # update-rc.d regels-fw.sh start 90 2 3 4 5. 

Start ten slotte opnieuw op en test of de regel is toegepast. Om dit te doen, voert u na het opnieuw opstarten uit:

 # iptables -t nat -L -n 

En de uitvoer moet de toegepaste regels tonen, waarin de maskerende moet verschijnen:

7) Om ervoor te zorgen dat de router netwerkinstellingen toewijst aan de hosts op het LAN, installeert u een DHCP-server met de volgende opdracht:

 # apt-get install isc-dhcp-server 

8 ) Configureer de DHCP-service zodat deze alleen de LAN-netwerkinterface gebruikt (we willen geen IP's naar internet distribueren!). Bewerk hiervoor het configuratiebestand:

 # vim / etc / standaard / isc-dhcp-server 

Specificeer de lan-interface:

9) Bewerk het configuratiebestand van de DHCP-server om de pool van IP-adressen, de toe te wijzen gateway, enz. te bepalen. Uitvoeren op een beëindiging:

 # vim /etc/dhcp/dhcpd.conf 

Voer de subnetconfiguratie, de toe te wijzen dns en de gateway in. Voor Bob's host hebben we het IP-adres 192.168.1.2 gedwongen om altijd toegewezen te worden:

 subnet 192.168.1.0 netmasker 255.255.255.0 {optie routers 192.168.1.1; optie domeinnaamservers 8.8.8.8; optie domeinnaam "lan"; gezaghebbend; } host Bob {hardware ethernet AA: BB: CC: 22: 33: 44; vast adres 192.168.1.2; } 

Start de dienst opnieuw:
 # /etc/init.d/isc-dhcp-server herstart 

Controleer het systeemsyslog als een client om IP-toewijzing vraagt:
VERGROTEN

Zoals te zien is in de zelfstudie DHCP Spoofing Simple, wijst IP-toewijzing via DHCP Bob het adres toe dat we hebben opgegeven met zijn MAC-adres.

10) Als alles correct is ingesteld, kan Bob Alice pingen:

12) Ten slotte gaat Bob naar de website van Alice:

Het is belangrijk op te merken dat hoewel deze handleiding is gebaseerd op een eenvoudig scenario, de configuratieopdrachten en -methoden niet van scenario tot scenario verschillen, aangezien de betrokken componenten en software hetzelfde zijn. Er zijn Linux-distributies die speciaal zijn voorbereid om als router op een LAN te fungeren, zoals OpenWRT, DD-WRT en Pfsense (freeBSD). Deze distributies bieden een gebruiksvriendelijke configuratie-interface en vereisen geen handmatig ingevoerde commando's op de terminals. Dit is een eenvoudig voorstel om onze eigen Gateway op basis van GNU / Linux op te zetten zonder de hulp van configuratiewizards, dat wil zeggen "volledig met de hand gemaakt".
In latere tutorials zal de optie om een ​​lokale DNS, een complete firewall en de Proxy-service te configureren aan deze handleiding worden toegevoegd om de internettoegang te beheren, dus wees voorzichtig.Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een ​​positief punt te geven
wave wave wave wave wave