Instalarea unui gateway pe Linux. Configurare pas cu pas a routerului pe Debian

Așadar, sarcina noastră este să transformăm un computer care rulează Debian / Ubuntu (voi scrie pentru Debian) într-un gateway sau un router programabil pentru distribuirea internetului într-o rețea locală. Un exemplu este considerat cu două plăci de rețea într-un PC de distribuție (gateway).

Dacă nu specificați acest lucru, iar furnizorul nu vă transmite automat serverele ns, atunci pur și simplu nu veți putea lucra pe Internet sau nu veți putea face ping la resurse externe. În general, încercați!

Nu uitați să reîncărcați interfețele pentru a aplica setările sau reporniți mașina dacă interfețele refuză să fie reîncărcate corect prin comandă.

Deci, mașina este disponibilă în rețeaua internă, avem Internet pe mașină în sine (este ușor de verificat, conectați-vă la el prin ssh și ping Yandex, de exemplu). Cum putem distribui Internetul în zona locală acum? La fel de ușor ca o plăcintă! Să folosim un utilitar special pseudo-grafic arno firewall.

apt-get install arno-iptables-firewall

P.s. Pentru a reconfigura ulterior paravanul de protecție pentru a adăuga porturi noi, de exemplu, introduceți comanda:dpkg-reconfigure arno-iptables-firewall

Imediat va apărea o fereastră drăguță, solicitându-vă și mie să configuram un firewall care să ne protejeze rețeaua din exterior și să difuzeze Internetul în zona locală. Firewall-ul vă va cere să specificați interfețele de rețea externe și interne dacă utilizați, de exemplu, o conexiune IP sau orice conexiune de modem, apoi, pe lângă numele interfeței, specificați și numele conexiunii.

Pentru întrebări de la DHCP răspunde da , NAT - activare da, fie ca vrei sa faci ping din exterior, cum vrei, daca vrei sa accesezi biroul/casa din exterior, atunci da, altfel nu. În continuare, vi se va cere să indicați ce porturi ar trebui deschise pentru conexiunile TCP și UDP (trafic de intrare și de ieșire). De regulă, fiecare program are propriul său port, care este indicat în ajutor pentru acesta și există, de asemenea, un set de porturi standard. 80 / 8080 https, 22 FTP, 21 SSH și așa mai departe. Deschideți porturile de care aveți nevoie. Vă atrag încă o dată atenția asupra faptului că dacă un program încearcă să descarce/încarce ceva printr-un port nespecificat aici, atunci nimic nu va funcționa.

Numerele de port sunt separate prin spații, iar intervalele sunt separate prin două puncte între numere (fără spațiu). De asemenea, asigurați-vă că intrările de port sunt similare pentru ambele file UDP și TCP, altfel vor exista incidente precum programul care trimite informații, dar nu le poate primi - și invers.

În continuare vom fi întrebați despre CIDR și regulile interne ale subrețelei. Subrețeaua noastră internă este 192.168.0.0/24 (introducem aceasta acolo), această intrare va permite tuturor computerelor din rețeaua 192.168.x.x să primească informatii externe. De asemenea, puteți da Internet doar computerelor sau dispozitivelor selectate cu adrese specifice de rețea, specificați-le chiar acolo, limitând strict adresarea.

Ce s-a întâmplat este următorul: pe un computer din rețeaua locală, am specificat în mod explicit adresa și am setat gateway-ul pentru computerul-router-ul nostru de distribuție cu adresa 192.168.0.1, am instalat serverul NS pe computerul client și am instalat furnizorul și Google. Servere NS (adresa 8.8.8.8). Și voilà, internetul este pe el.

Cu toate acestea, când am încercat să mă conectez la rețea cu un dispozitiv care nu și-a putut seta propria adresă și gateway, am fost dezamăgit! Nu am configurat distribuția adreselor. Și asta este în următorul articol - servere.

Date: 1. Computer cu două plăci de rețea. 2. distribuție Debian sau Ubuntu Linux. (as recomanda in continuare pt servere Debian) 3. Brațe drepte și cap proaspăt.

Asadar, haideti sa începem!
În primul rând, să instalăm Linux pe computer, specificând toate setările de rețea. Recomand să instalați Debian, iar când vi se solicită să selectați pachetele necesare, vom instala doar componentele principale ale sistemului și openssh-server. Asta este, nu avem nevoie de nimic altceva pentru a opera gateway-ul pe Linux. Nici unul cochilii grafice. Vom instala direct și apoi vă puteți conecta prin ssh pentru control server la distanta, sau dacă tastatura, mouse-ul și monitorul nu sunt conectate. Instalarea Debian pe un computer nu este mult diferită de instalarea Ubuntu.

După ce ai instalat Linux pe un computer, trebuie să-l transformăm într-un gateway. Pentru a face acest lucru, el trebuie să fie capabil să facă ceva.
1. Treceți pachetele de rețea prin dvs. (REDIRECŢIONA)
2. Traduceți adresele de rețea (convertiți adresele rețelei locale într-o adresă externă sub care utilizatorul va accesa rețeaua). Cu alte cuvinte, gateway-ul permite utilizatorilor rețelei locale să treacă prin el sub propria adresă. Îl poți suna router software sau cum vrei tu. Acest serviciu se numește NAT (Network Address Translation).

Dar mai întâi lucrurile. Mai întâi, să configuram interfețele de rețea. Preluați setările rețelei locale de la dvs., setările de Internet de la furnizorul dvs. Dacă accesați Internetul nu prin autorizarea IP, ci printr-o conexiune xDSL, atunci utilizați utilitarul pppoeconf.

Să ne imaginăm că avem 2 interfețe de rețea configurate. Acestea sunt locale (eth0) și externe (eth1). Există Internet pe gateway, Yandex ping, Google ping și acolo. Aproape ultima sarcină este să facem ca gateway-ul nostru Linux să permită tuturor să intre pe Internet prin ea însăși. Aici vreau să observ că Linux are propriul firewall și se numește iptables. Implicit, iptables funcționează astfel - „Nu voi lăsa pe nimeni să intre decât prin conexiunile care au fost inițiate de mine!” Dar asta nu va funcționa) Prin urmare, configurăm iptables:

Merge:
1. Creați un fișier numit firewall.sh în folderul /etc/init.d/

# atingeți /etc/init.d/firewall.sh

2. Oferim drepturi de lansare

# chmod 755 /etc/init.d/firewall.sh

3. Adăugați scriptul nostru la pornire. Doar în cazul în care:)

# update-rc.d firewall.sh implicite

4. Ei bine, de fapt, ne edităm scenariul.

# nano /etc/init.d/firewall.sh

Să lăsăm nucleul să înțeleagă că acesta este un script real.sh

# !/bin/sh (chiar aici, împreună cu simbolul # și scrieți în interior! Acesta este tipul de comentariu de care are nevoie nucleul)

Să activăm redirecționarea în Linux.

echo 1 > /proc/sys/net/ipv4/ip_forward (1 - activat, 0 - oprit:))

Să resetam toate setările de intrare, de ieșire și de redirecționare. Acest lucru ne va ajuta să scăpăm de regulile iptables „incorecte” introduse în consolă. Doar rulați scriptul și regulile vor fi actualizate:

iptables -F INPUT
iptables -F IEȘIRE
iptables -F FORWARD

Politică implicită - redirecționare permisă:

iptables -P FORWARD ACCEPT

Să adăugăm o nouă regulă de post-routare la tabelul de rețea „nat”. Logica regulii este următoarea: Din sursa „rețelei locale”, pachetele de ieșire prin interfața externă ar trebui să fie „transmise” (transmise ca una externă), dar ne vom masca. Mascarade (MASCURADE) oferă ocazia funcţionare corectă cu o adresă IP externă dinamică. iptables -A (regulă nouă) POSTROUTING (post-routare) -t (tabele...) nat (...NAT) -s (sursă - din sursă) 192.168.1.0/24 (întreaga rețea locală) -o ( ieșire - prin ieșire...) eth1 (...interfață eth1) -j (lucru - lucru (ce să faci?)) MASQUERADE (deghizare). Acestea. Aceasta este regula iptables:

iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth1 -j MASQUERADE

Asta e tot. De asemenea, puteți adăuga ceva de genul unei notificări la sfârșitul scriptului, care va indica faptul că scriptul a funcționat:

regulile de firewall echo sunt acceptate
Salveaza si inchide. (Dacă ați editat prin nano, ca în acest articol, atunci apăsați ctrl+o (salvare) ctrl+x (închidere)).
Acum să rulăm scriptul nostru

/etc/init.d/firewall.sh

Ați văzut mesajul „reguli firewall acceptate”? Au existat erori? Felicitări! Poarta către Linux gata! Acum toate computerele din rețeaua locală vor putea accesa Internetul, deși fără restricții. Și da, dacă rețeaua dvs. nu servere DNS, apoi în setările clientului trebuie să specificați DNS-ul serverului furnizorului sau, de exemplu, DNS server Google;) (adresa este ușor de reținut - 8.8.8.8)

iptables -A FORWARD -p igmp -i eth0 -o eth1 -j ACCEPT
iptables -I INTRARE -d 224.0.0.0/4 -j ACCEPT
iptables -I FORWARD -d 224.0.0.0/4 -j ACCEPT
route add -net 224.0.0.0 netmask 240.0.0.0 eth0
iptables -t filter -A INPUT -d 224.0.0.0/240.0.0.0 -i eth0 -j ACCEPT
iptables -t filter -A INPUT -s 224.0.0.0/240.0.0.0 -i eth0 -j ACCEPT
iptables -t filter -A FORWARD -d 224.0.0.0/240.0.0.0 -j ACCEPT
iptables -t filter -A FORWARD -s 224.0.0.0/240.0.0.0 -j ACCEPT
iptables -t mangle -A PREROUTING -d 224.0.0.0/240.0.0.0 -p udp -j TTL --ttl-inc 1

Printre marea varietate sisteme Linux Distribuțiile de routere specializate sunt deosebit de populare. Astfel de soluții, de regulă, sunt de dimensiuni reduse, simplu și simplu de instalat și configurat, iar funcțiile disponibile vă permit să vă conectați rețeaua de acasă/corporație la Internet, protejându-l de atacurile de rețea și de viruși. În plus, multe dintre ele au funcții de control al traficului, blocare protocol, filtru antispam, shaper și multe altele. Prin urmare, alegerea „apărătorul tău” nu este ușoară. Acest articol vă va ajuta să vă găsiți drumul mai repede.

Untangle Gateway 7.0.1

OS : Untangle Gateway 7.0.1
Site-ul proiectului : www.untangle.com
Data de lansare: 20 octombrie 2009
Licență: GPL
Platforme hardware: x86_32
Cerințe de sistem : CPU 800 MHz, 512 MB RAM, 20 GB disc, 2+ NIC

Distribuția Untangle, produsă de compania cu același nume, este capabilă să înlocuiască soluții comerciale precum ISA Server (Forefront TMG), oferind acces securizat la Internet. Untangle este conceput pentru organizațiile mici și mijlocii cu 50-300 sau mai multe computere (cerințele de sistem sunt date pentru 50). Untangle se bazează pe Debian, toate setările sunt realizate folosind o interfață clară, deși nelocalizată. Pentru a gestiona, este suficient să înțelegem esența, cunoașterea profundă sisteme Unixîn situații normale acest lucru nu va fi necesar. Spre deosebire de alte soluții care folosesc tehnologii web, interfața Untangle este scrisă în Java, astfel încât toate modificările din consola de management, statisticile de lucru și așa mai departe sunt afișate în timp real, ceea ce este foarte convenabil. Deși pentru folosind Java A trebuit să plătesc cu cerințe de sistem crescute.
Untangle este conceput ca un constructor. După instalare sistem de bază nu are module de protecție, administratorul selectează în mod independent ceea ce este cu adevărat necesar, în funcție de sarcinile și echipamentele disponibile. Puteți adăuga 94 de pachete (19 aplicații) la Untangle, care vor oferi: rutare, protecție antivirus/anti-phishing/spyware, detectarea atacurilor, analiza protocolului (nivel 7), filtrarea conținutului traficului web, conexiuni VPN și multe altele funcții. Ele se bazează pe aplicații populare OpenSource - Snort, ClamAV, SpamAssassin, Squid etc. Modulul protejează împotriva DoS și a unor atacuri de rețea de nivel scăzut propria dezvoltare„Attack Blocker”, care este oferit gratuit. Filtrul antispam recunoaște spam-ul în imagini, pentru care se conectează la OCR. Modulul de analiză a protocolului, dacă este necesar, poate limita funcționarea oricăror protocoale nivelul de aplicare(P2P, IM etc., ~100 de protocoale în total), chiar dacă folosesc porturi non-standard.

Unele dezvoltări proprietare sunt distribuite prin abonament - Kaspersky Anti-Virus, eSoft Web Filter, un modul pentru lucrul cu Director activ, rezervarea setărilor etc. Pentru comoditate, există și „ansambluri” gata făcute de module concepute pentru diverse rețele — Educație, Afaceri mici, Profesionist, Guvern(V diferite opțiuni consumabilele sunt disponibile și prin abonament). Modul gratuit Rapoarte permite administratorului să primească rapoarte despre toate situațiile posibile - activitatea de rețea, protocoale, spam detectat și viruși, activitatea utilizatorului. Rezultatul poate fi salvat în format PDF, HTML, XLS, CSV și XML și trimis prin e-mail.
Instalarea distribuției este destul de simplă și necesită un timp minim: în mod tradițional, urmăm instrucțiunile vrăjitorului (în timpul instalării, puteți selecta limba rusă), răspunzând la întrebări. Pe parcurs, cerințele de sistem vor fi verificate, toate pozițiile ar trebui să fie OK. Apoi formatăm HDD, procesul este automatizat, pentru care trebuie doar să apăsați butonul „ Continua«.
După repornire, este activat expertul, a cărui sarcină este să ajute la configurarea gateway-ului. În lista de limbi propuse, doar limba engleză nu mai este de înțeles; Apoi, introducem secvenţial parola pentru cont admin, selectați fusul orar, introduceți informații de înregistrare(sunt necesare e-mailul și numărul de computere). După aceasta, sistemul recunoaște plăci de rețeași le atribuie - Extern/Intern (dacă există o a treia interfață de rețea, puteți organiza o zonă demilitarizată fără probleme). Folosind mouse-ul, atribuirea poate fi corectată, dar este imposibil să se determine unde dintre cărți i se oferă informațiile disponibile. Indicăm tipul de conexiune la Internet (DHCP, PPPoE, Static), pentru a verifica, faceți clic pe „ Testarea conectivității". La pasul " Rețeaua internă„Va trebui să alegeți una dintre cele două opțiuni pentru a utiliza Untangle: Podul Transparent sau Router. Atunci când alegeți a doua opțiune, trebuie să specificați adresa IP a interfeței de rețea internă și să activați opțional sistemul încorporat. Server DHCP. Iar ultima etapă este trimiterea unui mesaj de testare prin e-mail În mod implicit, se folosește SMTP intern, dar puteți specifica oricare unul extern. Când ați terminat, consola de management se încarcă. Sunt două file în stânga. În Aplicații selectăm și instalăm pachete, în Config facem setări. Totul este defalcat punct cu punct, așa că găsește setările necesareși este destul de ușor de înțeles. De exemplu, pentru a configura Firewall, accesați fila cu același nume. Sistemul va oferi imediat descărcarea pachetului necesar. Faceți clic pe „Descărcare gratuită” odată ce descărcarea este completă, în centrul ferestrei va apărea o comandă rapidă pentru configurarea componentei.
În același mod, punem tot ce ne trebuie - Blocant de atac, Controlul protocolului, OpenVPN Rapoarte etc. Pentru a configura un modul, selectați-l și faceți clic pe butonul Setare. De exemplu, Firewall-ul are deja 3 reguli pregătite (blocarea conexiunilor de intrare pe 21 de porturi, blocarea și permiterea setului de reguli pentru trafic de intrare din rețeaua 1.2.3.0). Le puteți lua ca bază prin editarea sau crearea propriei reguli prin analogie. Regula este creată foarte simplu, faceți clic Adăugași completați câmpurile corespunzătoare. Aici, în subfila " Jurnalul evenimentelor» puteți vizualiza evenimente conexe.
Dacă închidem fereastra clientului web, desktopul va apărea în fața noastră. Există mai multe comenzi rapide în panou, al căror scop este mai mult caracter auxiliar— pornirea și oprirea screensaverului, restaurarea, modificarea rezoluției etc.

Comunitatea Endian Firewall 2.3

OS: Comunitatea Endian Firewall 2.3
Site-ul proiectului: www.endian.com/en/community/overview/
Data de lansare: 27 octombrie 2009
Licență: GPL
Platforme hardware s: x86_32
Cerințe de sistem: CPU 166 MHz, 64 MB RAM, 2 GB

Endian Firewall (EFW) s-a bazat inițial pe IPCop Firewall, în care dezvoltatorii au decis să consolideze caracteristicile de securitate și capacitatea de utilizare a interfeței. Astăzi a mai rămas puțin din rudenie, iar EFW este construit pe Bazat pe CentOS si include Set complet mijloc de protecție împotriva amenințărilor externe, care îi permite să fie clasificat ca sistem UTM (Unified Managementul amenințărilor). Acest cu stare filtru de pachete (netfilter), IDS/IPS (Snort), filtru de conținut, scanare antivirus Trafic HTTP/FTP/POP3/SMTP, protecție anti-spam, module anti-spoofing și anti-phishing. Politicile de filtrare și rutare vă permit să specificați aproape toate informații la zi- protocol, port, interfata retea, adrese IP și MAC. Este posibil să configurați ACL-uri pentru site-uri prin HTTP Proxy (transparent sau opac) cu referire la utilizator, grup, adresă, agent utilizator, oră. Filtrul de conținut conține setări gata pentru mai mult de 20 de categorii și subcategorii.
Conexiunea la internet se realizează prin Ethernet, PPPoE, ADSL (USB, PCI), ISDN, modem, inclusiv 3G. Puteți atribui mai multe adrese IP unei interfețe externe (aliasing IP). Pe lângă autentificarea locală a utilizatorilor (NCSA), este oferit suport pentru Active Directory, LDAP și RADIUS. Să adăugăm la această listă crearea și gestionarea VLAN-urilor, management complet Suport QoS, SNMP. Ca parte a EFW găsim două aplicații pentru organizarea unui securizat conexiuni VPN— OpenVPN și Openswan/Pluto (implementare IPsec pentru Linux).
Statisticile sunt păstrate cu privire la conexiuni, trafic și experiența utilizatorului. Când apar anumite evenimente, un mesaj este trimis la adresa de e-mail a administratorului.


Arhiva criptată cu setările este salvată pe o unitate flash USB sau trimisă pe e-mail, astfel încât, dacă este necesar, puteți restabili funcționarea gateway-ului în doar câteva clicuri de mouse.
Sistemul poate fi controlat din linia de comandă sau printr-o interfață web localizată.
Instalarea se realizează folosind un expert cu o interfață pseudo-grafică și este destul de simplă pentru un utilizator fără experiență. Pornim și confirmăm formatarea discului, după care sistemul va începe copierea, la cerere, indică adresa IP a interfeței VERDE (internă); Asta e toată instalația. După repornire, datele pentru înregistrare prin web vor fi afișate în consolă ( http://adresa-ip/ sau https://adresa-ip:10443). Meniul de consolă propus vă permite să ieșiți în shell și să setați o parolă de cont rădăcină(pentru SSH) și admin(web). Introducând adresa furnizată în browser și parcurgând câțiva pași, finalizam instalarea - selectați limba (este disponibilă limba rusă), fusul orar și suntem de acord cu termenii licenței GNU GPL. Apoi, expertul sugerează importarea setărilor din backup, spunem „ Nu„și specificați parolele pentru root și admin.
Acum este rândul" Experti de configurare a rețelei„, simplificând procesul de conectare la rețea. Cu acesta, trebuie să parcurgeți 8 pași, de exemplu, selectați tipul de conexiune interfața RED (externă) și observați dacă există WiFi disponibil(ALBASTRU) și DMZ (ORANGEL). Dacă este necesar, schimbăm setările VERDE, există posibilitatea de a „realoca” cardul și de a specifica aliasuri, de a seta numele gazdei. Repetăm ​​această operațiune în mod similar pentru alte interfețe, introducem adresele serverelor DNS principale și de rezervă și e-mailul administratorului. Toate. După înregistrarea cu acreditările de administrator, ajungem la pagina principala consola de management, care afișează grafice de trafic actualizate în timp real, date despre starea serviciilor și încărcarea sistemului. Există destul de multe setări, dar toate sunt distribuite cu succes în grupuri, ale căror nume vorbesc de la sine - Sistem, Stare, Rețea de calculatoare, Servicii, Firewall, Proxy, VPN și Evenimente. Prin urmare, gestionarea altor setări EFW este destul de simplă.

IPCop Firewall 1.9.8

OS: IPCop Firewall 1.9.8
Site-ul proiectului: www.ipcop.org
Data de lansare: 29 octombrie 2009
Licență: GPL
Platforme hardware: x86_32
Cerințe de sistem: Intel Pentium II 233 MHz, 64 MB RAM, 2 GB

Versiunea IPCop 0.1.1 (2002) a fost bazată pe SmoothWall 0.9.9, apoi proiectul a trecut complet la LFS și astăzi sunt puține de spus despre relație. Distribuția vizează piața SOHO (Small Office, Home Office), așa că sarcina principală a dezvoltatorilor este să facă interfața comodă și simplă. Pachetul conține tot ce aveți nevoie pentru a organiza un gateway securizat - filtru de pachete, IDS/IPS, proxy web și DNS, server/client DHCP, Openswan, OpenVPN, limitarea traficului, server NTP. Implementarea controlului conexiunilor printr-un proxy web prin adrese IP și numele sistemului.
Tot ceea ce lipsește în pachetul de bază este disponibil în suplimente ( sf.net/apps/trac/ipcop/wiki/Addons), care sunt dezvoltate și susținute, de regulă, de către programatori terți. Aici găsim deja filtrul URL, avansat setări firewall, verificând traficul web și SMTP pentru viruși și multe altele. Ca și în EFW, interfețele au culori - VERDE, ROȘU, ORANGEL (DMZ), etc. Interfața externă acceptă conexiunea prin Ethernet (static, DHCP), PPTP, PPPoE, ISDN, precum și prin conexiune modem. Unele operațiuni (conectare, deconectare, actualizare etc.) pot fi efectuate conform unui program.
Până de curând, versiunea stabilă era considerată a fi 1.4.20 (cu o actualizare la 1.4.21), astăzi IPCop v2 este dezvoltat în mod activ și ne vom familiariza cu lansarea 1.9.8.
Nu numai ISO-urile tradiționale (dimensiune 50 MB), ci și imaginile pentru pornirea în rețea, instalarea pe o unitate flash USB/hard disk și altele sunt disponibile pentru descărcare.
Procesul de instalare se desfășoară într-o consolă pseudo-grafică și este foarte banal. Când ați terminat, introduceți adresa în browser https://gateway_ip:8443/. Pentru a localiza interfața, accesați Sistem - Setare GUIși selectați rusă din listă.
Consola de management este destul de simplă. Există 7 file în partea de sus ( Sistem, Stare, Rețea, Servicii, Firewall, VPN, Jurnal), când treceți cu mouse-ul peste orice element, apar sub-articole. De exemplu, pentru a configura OpenVPN, mergeți la fila dorită, unde bifând „ OpenVPN pe RED„Activăm serverul.


Acum indicam Opțiuni suplimentare(Adresa IP a rețelelor externe și interne, protocol, algoritm de criptare, comprimarea datelor transmise folosind biblioteca LZO etc.) Accesați „ Opțiuni avansate de server» vă va permite să reglați fin Funcționează OpenVPN Server. De asemenea, doar în " Firewall - Reguli pentru firewall» sunt configurate regulile de filtrare a pachetelor. Selectați tipul de regulă ( Trafic de ieșire, Redirecționare porturi, Acces IPCop, Acces IPCop extern) și completați câmpurile prevăzute.

SmoothWall Express 3.0 SP1 „Polar”

OS: SmoothWall Express 3.0 SP1
Site-ul proiectului: smoothwall.org
Data de lansare: 8 ianuarie 2009
Licență: GPL
Platforme hardware: x86_32, x86_64
Cerințe de sistem: Intel Pentium 166 MHz, 32 MB RAM, 2 GB HDD

Proiectul, care a luat naștere la mijlocul anului 2000, și-a propus scopul de a transforma calculator învechitîntr-un gateway complet cu funcții de securitate, ale căror setări ar putea fi gestionate utilizator obișnuit. Inițiativa a fost un succes. În primele luni, câteva zeci de mii de copii au fost descărcate de pe SourceForge. Cu toate că interfață web convenabilă, IDS/IPS și altele caracteristici utile SmoothWall a fost introdus puțin mai târziu (din versiunea 0.9.9). Și astfel, SmoothWall are tot ce aveți nevoie - firewall, port forwarding, Suport VPN, Web/DNS/SIP/POP3 proxy, IM proxy (MSN/AIM/ICQ/Yahoo) cu filtre gata făcute și înregistrarea traficului (pe baza IMSpector), server DHCP, NTP, suport QoS. Este posibil să setați acces la Internet pentru anumite adrese în funcție de ora din zi. Dacă este necesar, traficul este scanat folosind antivirus Clamav.
Ca și în cele două distribuții anterioare, sunt acceptate până la 4 conexiuni de retea: WAN, LAN, DMZ, WiFi. Interfața „roșu” poate fi atribuită la: Ethernet (static, DHCP), PPPoE, ISDN, ADSL sau conexiune modem.
Versiunea 3.0 în sine a fost lansată la sfârșitul anului 2007, astăzi este disponibilă cea mai recentă versiune cu SP1. Pe lângă ISO (x86, x86_64), activat pagină separată Imagine VMWare disponibilă.
Instalarea este destul de simplă, faceți clic pe OK de mai multe ori și gata, procedura este finalizată. Urmează setările principale - aspectul, numele gazdei și alegerea politicii de trafic de ieșire:

— Deschis— tot traficul de ieșire este permis;
— Pe jumătate deschis— conexiunile sunt permise numai pe porturile principale, conexiunile potențial periculoase sunt blocate;
— Închis— toate conexiunile de ieșire sunt blocate.

Apoi configuram tipul de retea. Sunt oferite mai multe combinații de interfețe și tipuri de conexiune (VERDE + ROȘU, VERDE + ROȘU + PORTOCALIE, etc.) Apoi distribuim dispozitive de rețeaîn funcție de scopul propus, indicăm adresele interfețelor (acolo unde este necesar) și adresele gateway-ului și serverului DNS. Specificați o parolă pentru utilizatori rădăcinăȘi admin. După repornire, pentru instalări ulterioare, apelați browserul și tastați http://adresa-ip:81/ sau https://adresa-ip:441.


Interfața web nu este localizată, dar este destul de simplă. Selectați una dintre filele principale ( Control, Despre, Servicii, Rețea, VPN, Jurnale, Instrumente, Întreținere) și obțineți acces la setări. În mod implicit, Snort nu este activat, trebuie să accesați Servicii - IDS, bifeaza casuta " Sforâie" si intra " Oink cod". Regulile de firewall sunt configurate în Rețele, selectați direcția dorită (de exemplu, de ieșire) și completați câmpurile propuse. Folosind AJAX permite administratorului să vizualizeze graficele de încărcare a canalului în timp real (tab Despre). Statisticile de trafic sunt disponibile pentru orice adresă IP, pentru orice perioadă de timp. Setul de distribuție este actualizat prin apăsarea unui buton Întreținere - Actualizări.

Vyatta CE 5

OS: Vyatta Community Edition 5.0.2
Site-ul proiectului: www.vyatta.org
Data de lansare: 9 martie 2009
Licență: GPL
Platforme hardware: x86_32
Cerințe de sistem: Intel Pentium III 450 MHz, 128 MB RAM și 2 GB, 2+ NIC

Dezvoltatorii distribuției Vyatta au decis să concureze nu cu oricine, ci cu ei înșiși Cisco Systems. Folosind Debian ca bază, l-au integrat cu platforma de rutare XORP disponibilă gratuit ( Platformă de router deschisă extensibilă, xorp.org), care este dezvoltat de un grup de la ICSI (Institutul Internațional de Informatică) Berkeley, cu finanțare de la giganți precum Intel și Microsoft. Instalând Vyatta pe un computer x86, obținem un router cu funcții IDS/IPS (bazat pe Snort), un proxy de cache și un filtru URL ( Squid+SquidGuard), politicile de rețea (Politici de acces la rețea), OpenVPN, DNS Forwarding, Ethernet Bonding și Bridget Ethernet prin ADSL (RFC 2684). Sunt acceptate plăcile multiport (T1/E1, T3 etc.) și modemurile 3G fără fir.
Primele versiuni de Vyatta au fost configurate exclusiv prin linia de comandă (cum ar fi Routere Cisco). Apoi, din versiunea 4, a devenit disponibilă o interfață web (lighttpd a fost inclus în aceste scopuri). Subliniat în mod deosebit este suportul mașinilor virtuale populare de astăzi - VMware, Xen, Hyper-V și alte câteva hipervizoare. Distribuția poate funcționa cu LiveCD în timp ce salvează setările pe o unitate flash sau pe alte medii (fișier config.boot). Poate fi instalat pe un hard disk, breloc USB sau card Compact Flash. Dacă aveți două discuri, programul de instalare vă permite să le conectați automat la RAID 1.
Proiectul oferă suport comercial și vinde routere cu software preinstalat. Vyatta Community Edition (imagini ISO, Citrix XenServer și VMWare) este disponibilă pentru descărcare și utilizare gratuită.
Procesul de instalare este destul de simplu, deși se face folosind linia de comandă. Înregistrează-te ca rădăcină cu parola vyattași rulați programul de instalare:

#instalare-sistem

Apoi, confirmăm instalarea și trecem la crearea partițiilor. Valoarea implicită este Auto. Introducând „Da”, confirmăm distrugerea datelor de pe disc, indicăm dimensiunea partiției rădăcină (în mod implicit întregul disc) și așteptăm până când datele sunt copiate. Apoi setați parole utilizatori rootși vyatta, instalați GRUB, apoi reporniți și treceți la modul de configurare:

# configurați

Configurarea interfeței de rețea:

# setați interfețele ethernet eth0 adresa 192.168.1.1/24 # setați interfețele ethernet eth0 descriere LAN

Activați interfața web:

# setați serviciul https

Alte servicii sunt activate în același mod - nat, dns, dhcp-relay, dhcp-server, webproxy, ssh. Completarea automată este disponibilă în consolă: făcând clic, obținem o listă de valori posibile. Confirmăm toate setările.

# comite

Să vedem ce s-a întâmplat:

# arată interfețele

Toate setările pot fi afișate prin tastare arata tot. Ieșiți din modul de editare folosind comanda de ieșire. Acum apelăm browserul și configuram parametrii folosind interfața web. Selectați categoria dorită și faceți clic pe butonul Creare, după care completăm câmpurile propuse. Buton Spectacolîn partea de sus va afișa un fișier de configurare în care semnul „+” va evidenția parametrii adăugați, dar neactivați încă. Pentru a le pune în acțiune, faceți clic pe butonul Commit (Anulați - Renunțați).


După părerea mea, este mai ușor să intri Linie de comanda:

# setați numele firewall-ului permiteți regula 10 acțiunea accepta # setați numele firewall-ului permiteți regula 10 adresa sursă 192.168.0.0/24 # setați interfețele ethernet eth0 firewall-ul în nume permiteți # commit

Cum să configurați o regulă de autorizare similară folosind interfața web propusă. Trebuie doar să te obișnuiești puțin cu noua sintaxă.

Concluzie

Fiecare va alege singur câștigătorul, în funcție de sarcini specifice. Personal îmi place Vyatta pentru flexibilitatea sa și comenzile asemănătoare Cisco, Endian Firewall și Untangle pentru echipamentul său. Pentru cei care au nevoie de simplitate în setări, aruncați o privire la SmoothWall și IPCop.

Folosind sistemul de operare Linux, este ușor să distribuiți Internetul într-o rețea locală, atât prin rețele cu fir, cât și prin wi-fi. În prezent, există multe routere care sunt capabile să îndeplinească această sarcină.

Dar au și dezavantaje - unele se blochează în mod regulat fără motiv, necesitând o repornire, în timp ce altele au funcționalitate limitată de setări de acces. Deci, dacă doriți să controlați complet distribuția Internetului către rețeaua locală, cea mai bună opțiune va configura un gateway de internet pe Linux.

Există multe modalități de a o configura, totul depinde de calificările persoanei care o va face. Există distribuții speciale în care să se organizeze acces similar este posibil prin vrăjitor sau prin interfața web, există programe de grafică pentru organizarea unui gateway de internet. Dar în centrul a tot ceea ce este un principiu de funcționare.

Configurarea unui gateway de internet pe Linux

Distribuția pe internet se realizează în Linux folosind firewall-uri. Există mai multe tipuri, dar principalul, care este în continuă evoluție, completat cu noi funcții și, în același timp, este ușor de configurat, este iptables.

În iptables puteți distribui internetul folosind broadcast adresele de rețea- NAT, iar metoda în sine se numește IP Masquerading. Dar, pe lângă configurarea regulilor iptables în sine, trebuie să încărcați modulele nucleului responsabile pentru traducerea adreselor de rețea (sunt dezactivate implicit).

Cel mai simplu mod este să salvați setările iptables și să încărcați modulele kernelului într-un fișier de configurare. Apoi, tot ce rămâne este să îl configurați să ruleze de fiecare dată când computerul pornește. Și, desigur, două plăci de rețea trebuie instalate pe computer - una va primi Internetul, iar cealaltă va distribui Internetul în rețeaua locală. Sau unul, dacă accesul la Internet este oferit printr-un modem USB.

Iată un exemplu, trebuie să ținem cont că în acest caz iptables este instalat, dar nu este configurat.

Procesul de configurare a unui gateway de internet

Deschideți consola cu drepturi de administrator și creați un fișier cu comanda:

Atinge /etc/nat.sh
Deschideți-l într-un editor familiar, iată un exemplu pentru nano:

Nano -w /etc/nat.sh
Și scrieți rândurile în el

#!/bin/bash
Să declarăm variabilele, căile pentru fișierele executabile necesare și denumirile interfețelor de rețea:

IPT=/sbin/iptables MDB=/sbin/modprobe
eth0 va fi considerată interfața prin care Internetul ajunge la computer, iar eth1 este conectat la rețeaua locală, unde va distribui traficul gateway-ul de internet? pe Linux:

EX="eth0" INT="eth1"
Încărcați modulele kernel necesare pentru NAT:

$MDB ip_tables $MDB ip_conntrack $MDB ip_conntrack_ftp $MDB ip_conntrack_irc $MDB iptable_nat $MDB ip_nat_ftp $MDB ip_nat_irc
Permitem transmiterea pachetelor:

Echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr
Resetați totul setări iptables:

$IPT -P INTRARE ACCEPT $IPT -F INTRARE $IPT -P IEȘIRE ACCEPT $IPT -F IEȘIRE
În iptables, regulile sunt configurate după cum urmează: mai întâi, toate conexiunile sunt interzise și apoi sunt create reguli care permit o anumită conexiune

Am stabilit un bloc pe toate lanțurile:

$IPT -P INTRARE DROP $IPT -P FORWARD DROP $IPT -P IEȘIRE ACCEPT
Urmează regulile de autorizare:

În primul rând, generale, care nu distribuie internetul, ci permit trecerea pachetelor din interfata externa:

$IPT -A INPUT -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT $IPT-A INPUT -i lo -j ACCEPT $IPT -A INPUT -m conntrack --ctstate INVALID -j DROP $IPT -A INPUT -p tcp -m multiport --dports 21,22,1024:6800 -j ACCEPT $IPT -A INPUT - multiport --dports 21,80,8080,443,3306,8000,411,22,27015,26016 -j ACCEPT
Dar pe ce reguli se va baza gateway-ul de internet pe Linux - permitem redirecționarea pachetelor de la o conexiune externă la rețeaua locală:

$IPT -A FORWARD -i $EX -o $INT -m stare --stare ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -i $ EX -o $ INT -j ACCEPT
Activați traducerea adresei:

$ IPT -t nat -A POSTROUTING -o $EX -j MASQUERADE
Acum salvăm fișierul, îl facem executabil, chmod +x /etc/nat.sh, adăugăm linia sh /etc/nat.sh la fișierul rc.local înainte de ieșirea liniei 0. Reporniți și verificați dacă există Internet pe reteaua locala.

Acesta este cel mai simplu mod prin care poți organiza controlul accesului atât pentru computere, cât și pentru site-uri cu conținut nedorit, monitorizarea conexiunilor, dar pentru asta este mai bine să utilizați un gateway de internet pe Linux cu un server proxy, de exemplu SQUID.