tűzfal HOGYAN beállítás
belépés
Ez az útmutató, hogyan kell beállítani egy Ubuntu szokásos PC, mint helyettesíti a szokásos fogyasztói útválasztó (router), de sokkal erősebb és sokkal több funkció. Ez vonatkozik a QoS szűrő segítségével növeli a hálózat sebességét és a késleltetés. Ha nehezen valamilyen lépést, helyreállítási csapatok, amelyek segítségével sorolja a végén. Szintén szerepel utasításokat, hogyan kell teljesen vissza minden változás történt a képzési kézikönyvek.
Írtam ezeket gyakorlati ajánlásokat, mert azt akartam, hogy testre Ubuntu szerver, mint a router, és hiánya miatt más modern és megfizethető menedzsment HOGYANtól ebben a témában, azt kellett létrehozni az egészet magad. Azt akartam, hogy a dokumentum, amit tanultam, hogy menteni egy csomó időt és energiát mások.
Feltételezhető, hogy ha olvasod ezt az útmutatót, ha nem kell alapvető ismeretekkel, hogy valójában mi teszi a tűzfal / átjáró, ami az alapja a szervezet a NAT és az IP-hálózatokon. Egyébként, azt javaslom, hogy olvassa el, és megemészteni a következő adatokat, majd visszatér a leolvasási az útmutató:
Akkor is kell egy terminál a gépen, amelyen a beállítások elvégzéséhez. Én nem ajánlom beállítás csak távolról SSH-n keresztül, ha még nincs fizikai hozzáférést a pc is tévesen a tűzfal szabályok és a rendszer biztonságos távoli hozzáférést.
Basic setup (szükséges minimum, hogy a művelet, és biztosítják a NAT router)
követelmények
Ahhoz, hogy a rendszer kiépítése, amire szükség van egy tartalék PC Ubuntu rendszer, és a két hálózati kártya. A rendszer nem nuzhnaetsya erős specifikáció. Kezdtem router 600 MHz P3 512 MB memóriával, de azt hiszem, könnyen csinálni ugyanezt bármi gyorsabb, mint a P2 200 MHz és 128 MB memóriával. Bármilyen Ubuntu fog működni, asztali vagy szerver kiadás. Az egyetlen igazi különbség - az a tény, hogy nincs GUI a kiszolgálón. Ez nem probléma, akkor úgyis leginkább használni a parancssorban.
szoftver
Ez az útmutató használ webmin mint a webes felületen kell beállítani a szükséges iptables szabályok és a szerverek. Szeretem használni webmin helyett scriptek, mert webmin udoeban egyre könnyű megérteni, mint a script ugyanazt a funkciót. Nyiss egy terminált, majd futtassa komandamy követve telepítse a szükséges szoftvert:
sudo aptitude install bind9 dhcp3-server perl libnet-SSLeay-perl openssl libauthen-pam-perl libpam-runtime libio-PTY-perl libmd5-perl
Megtalálható a legújabb verzióját webmin itt, mint egy csomag debian:
A legújabb verzió idején ez az írás változata 1.430 telepíteni ezt a verziót, az alábbi parancsot:
Megjegyzés: Ez - nagyon rossz ötlet, hogy hagyjuk webmin nyitott a külvilág felé. Csak a felhasználói jelszót között áll egy távoli támadó teljes ellenőrzése alatt a pc. Ne csináld ezt. Ha tényleg kell férnie webmin távolról, azt hiszem, tudja, mit csinál, és tudja, hogyan kell használni ssh alagút
Minden konfigurációs oldalon, amelyet a főmenüben a bal oldalon.
Webmint készen áll a működésre.
Konfigurálása hálózati kártyák
Mivel azt szeretnénk, hogy használja a számítógépet, mint egy router, akkor már van két hálózati kártya. Meg kell tudni, hogy a nevüket, és el kell döntenie, melyik felület legyen az internetkapcsolat, és mit kell csatlakoztatni a helyi hálózaton. Ahhoz, hogy megtudja, milyen hálózati kártya van a rendszerben, a következő parancsot:
Tudod kap elég sok interfészek, attól függően, hogy a rendszer, hanem csak azt, amit érint, ethernet (amelyek nazyvyutsya hasonlatosságára ethXX). Ezek általában kell címkézni eth0 és eth1 az, de lehet bármilyen számot, úgyhogy ezentúl fogja hívni őket eth_BAD és eth_SAFE. eth_BAD - Internet adapter, eth_SAFE - helyi hálózati adapter. Jegyezze fel felület, mert akkor kezelni őket gyakran.
Először állítsa be a routing, egy nagyon erős és rugalmas Linux tűzfal, iptables.
Fontos megjegyezni, hogy ha hibázik itt van, akkor tiltsa le teljesen az egész szervezet hálózat, amely biztosan kikapcsolni a hozzáférést az internethez, és azt is meg fogja akadályozni hozzáférést webmin, hogy megszüntesse a problémát. Ha ilyen nehézségek, néhány csapat a végén ez a kézikönyv segít megszüntetni a problémát.
Most kell beállítani az átirányítást (forwarding) csomagot, különben a NAT nem fog működni. Ezt megteheti szerkesztésével a következő fájlt:
sudo cp / etc / sysctl. conf / etc / sysctl. conf. bak sudo nano / etc / sysctl. conf
Ez a fájl a következőket kell tartalmaznia sor:
# Megjegyzésből a következő sor, hogy csomag továbbítását IPv4
net. ipv4. ip_forward = 1
Annak érdekében, hogy csomagtovábbításra reboot.
Ezen a ponton, a számítógép számára hozzáférést kell biztosítani az internethez eth_BAD felület, ha az internet még nem áll rendelkezésre - vissza az előző lépéseket, és győződjön meg arról, hogy minden működött.
lshw - osztályú hálózat
Letiltása felület megjelölve le van tiltva. Annak érdekében, hogy a felület, kattintson a „Hozzáadás egy új felület”, és adja meg a következő információkat:
„Név” - adja meg a felület nevét valószínűleg eth0, eth1 vagy valami hasonló.
„IP cím” - Győződjön meg arról, hogy a „Static” rádió gombot, és adja meg a 192.168.0.1 a szövegmezőbe.
"Netmask" - legyen 255.255.255.0
"Broadcast" - 192.168.0.255
„Aktiválása rendszerindításkor?” - Válasszuk az Igen
Ezután kattintson a „Create”, kattintson a rádió gombra, hogy hozzon létre egy felületet, és kattintson az „Apply” gombot a beállítások aktiválásához. Csodálatos! Két hálózati csatolók vannak konfigurálva.
LAN beállítás
DHCP konfigurálása
Először létre DHCP. Nyissa meg a lap „Szerverek” a webmin panel, és nyissa ki a DHCP szerver. Az Alhálózati top, kattintson az „Új alhálózati”. Adja meg a következő adatokat:
„Alhálózati leírás” - alhálózati neve, azt használja a „Helyi hálózat eth_SAFE”
„Hálózati cím” - 192.168.0.0
"Netmask" - 255.255.255.0
„Cím tartományok” - ez lehet minden tartományban, amit akar, 192.168.0.100 - 192.168.200 elégnek kell lennie.
Screenshot: DHCP konfigurálása alhálózati
Hagyja az összes többi beállítást, majd kattintson a „Create”. Most egy új ikon a neve 192.168.0.0 meg kell jelennie. Kattintson erre az ikonra, akkor visszatér a képernyőre, hasonlóan az előzőhöz, kivéve néhány új gomb alján. Kattints az egyik „Edit kliens beállítások”.
„Alhálózati maszk” - 255.255.255.0
"Default router" - 192.168.0.1
"Broadcast cím" - 192.168.0.255
"A DNS-kiszolgálók" - 192.168.0.1
Kattintson a „Save”, és ismét a „Mentés”. És még egy dolog, kotorub kell tennie ezen az oldalon -, hogy lépjünk le, és kattintson az „Edit hálózati interfész”. Eth_SAFE válasszon a listából és kattintson a „Mentés” gombra.
DHCP kiszolgáló beállítása. Kattintson a „Start Server” gombra az oldal alján, a szerver indul hiba nélkül. Ha a hiba továbbra is fennáll - hibázott valahol.
tűzfal konfigurációs
Konfigurálása IP maszkolás (routing)
Most pogruschimsya beállítási iptables. Mostantól akkor teljesen elrontani a beállításokat, és a hálózaton, ha nem vagyunk óvatosak, úgyhogy győződjön meg róla, hogy tudja, hogyan kell kijavítani a hibákat.
A webmin panel válassza ki a "Linux tűzfal." A rádió gomb „Do címfordítás” és válassza eth_BAD mint a felületet, ahol meg tudja csinálni. Jelölje be a négyzetet az „Enable tűzfal at boot time” és kattintson a „Beállítás Firewall”. Kattintson az "Apply Configuration".
konfigurálása tűzfal
Ezen a ponton a szerver úgy van beállítva, mint egy működő router / DNS / DHCP szerver, meg kell dolgozni ebben a konfigurációban minden, amire szükség van, de ez nem biztos. Meg kell határozni néhány szabályt, amelyek meghatározzák, aki tudja, hogy a Csatlakozás a szerverhez, csak nem akar semmilyen egyik nagy szörnyű internet berobbant a hazai fájlszerver, például. Mi fogja ezt iptables használatával szűrés.
Linux tűzfal IP működik három asztal: mángorló, PREROUTING és szűrjük. Tulajdonképpen fayrvoling elvégezni FILTER, így a „Linux Firewall” webmin részben módosítsa iptable legördülő listából a „Packet Filtering (filter)” iptable.
Három „láncok” szerepel ott. Minden lánc meghatározza, hogy mit kell tenni a csomagot, attól függően, hogy merre tart. Három láncok INPUT, FORWARD Kimenet. Minden lánchoz felveheti szabályok (szabályok), hogy elmondja a tűzfalat, hogy mit kell tenni egy csomagot, amely megfelel bizonyos feltételeknek. Valószínűleg szeretnénk, hogy a fekete lista (feketelista) minden INPUT és a FORWARD csomagok alapértelmezés szerint, majd kapcsolja be egy-egy, az igényeknek megfelelően. Változás az alapértelmezett műveletet (alapértelmezett művelet) INPUT Előre „csepp” (a fordító: a hiba esetén, akkor letilthatja az alapértelmezett műveletet, olvassa el további információinkat a cikk végén).
Szabály hozzáadásához, kattintson a „Szabály hozzáadása” gombra, és töltse ki a csomagot kritériumok és az akció (cselekvés) csomagban.
Itt szerepel az előírt minimális szabályokat, hogy meg kell a hálózat megfelelően működik:
INPUT
Elfogadni, ha a protokoll az ICMP (megjegyzés: ez lehetővé teszi, hogy a szerver, hogy válaszoljon a ping Nem feltétlenül szükséges, de ez nem igazán jelent biztonsági kockázatot, és teszi a hálózati hibaelhárítás sokkal könnyebb, ha te nagyon paranoid, érzem .. dönthetnek, hogy nem zavarja ezt a lehetőséget)
Fogadni, ha az input felület lo
Fogadni, ha az input felület eth_SAFE
Fogadni, ha az input felület eth_BAD és állapotát kapcsolat jön létre, a kapcsolódó
Fogadni, ha az input felület eth_SAFE és kimenő interfész eth_BAD
Fogadni, ha az input felület eth_BAD és kimenő interfész eth_SAFE és állapotát kapcsolat jön létre, a kapcsolódó
Én ezek végrehajtására vonatkozó szabályok nagyon egyszerű, hogy a tűzfal nem engedi semmi a külső hálózat, kivéve, hogy ez része a felállítása a kapcsolatot. Azt is javasolja, hogy a belső hálózat teljesen trasted és zavartalan hozzáférést a kiszolgáló tér és a külső hálózat a belső hálózaton. Ez az alapértelmezett beállítás a legtöbb NAT-eszközök.
Ezen a ponton valójában végül beállítást. Akkor hagyja el a szerver, mint egy egyszerű router nélkül további szabályokat ebben a szakaszban. Nagyon biztonságos és jól fog működni a legtöbb célra. Ha azonban a futtatni kívánt nyilvánosan elérhető szerver, a QOS filter vagy ha a belső hálózat nem eléggé megbízható, akkor adjunk hozzá néhány kiegészítő szabályokat. Bővebben.
By the way, én INPUT és a FORWARD táblázatok nézd, ahogy itt jelezzük. Én hozzá további szabályok lehetővé teszik egyes szerverek is dostupntsmi kültéri hálózat:
A bonyolultabb feladatok
További funkciói iptable
Ha szeretné, hogy az iptables rendesen, meg kell értened, hogy mi ez, és hogyan működik, milyen sorrendben táblákat használja. Azt javasoljuk, olvassa el a cikket a wiki:
Fontos megjegyezni, hogy ebben a szakaszban az iptables fogja alkalmazni a szabályokat minden csomagot abban a sorrendben, fentről lefelé. Minden szabály összehasonlítjuk a csomagot. És amint az ACCEPT vagy DROP szabályt megállapította, hogy megfelel annak a csomagot, ez a cselekvésre kerül sor, és kivégezték. Ha a csomagban van, hogy a végén a szabályok listáját anélkül, hogy megfelelő, akkor lesz az alapértelmezett művelet (alapértelmezett művelet). Íme két példa:
szabályrendszert:
Fogadni, ha az input felület eth1
DROP ha port 22
Bármely bejövő csomagokat eth1 engedélyezve lesz keresztül, még ha a port 22.
szabályrendszert:
DROP ha port 22
Fogadni, ha az input felület eth1
Most minden bejövő csomagot fogják engedni, hogy az eth1 kivéve 22-es port.
Szerverek futó router.
Ha azt szeretnénk, hogy fut a szerver a router (web szerver vagy SSH szerver), akkor meg kell nyitni ezeket a portokat külső hálózat. Ez egyszerűen hozzáadásával történik szabályokat, hogy kiszűrje INPUT kifejezetten lehetővé teszi a bejövő kapcsolatokat. Csak kattintson a „Szabály hozzáadása”, és lehetővé teszi a csomagok egy bizonyos típusú, és a port, ami szükséges a szerveren. SSH szerver is fut 22-es port és fogadni TCP csomagokat, így a szabály így nézne ki:
Elfogadni, ha a protokoll a TCP és cél port 22.
Hagyjuk egy statikus IP a helyi hálózaton
Néha meg kell futtatni a szerver számítógép a helyi hálózat és annak szükségességét, hogy a port forwarding (port forwarding), mint például a web szerver vagy kliens bittirrent.
Nyissa meg a webmin oldal „Szerverek”, válassza a DHCP szervert. A házigazdák nyomja meg az „Új host”. Töltse ki az adatokat az alábbiak szerint:
port forwarding
Meg kell csinálni a két dolgot. Először meg kell állítani egy szabályt, hogy meghatározza PREROUTING IPTables hol átirányítani a bejövő csomagokat, de azt is meg kell kifejezetten lehetővé teszik ezeket a csomagokat előre (előre), vagy más módon blokkolja a szűrőt. Ez zamechtalno és logikus, de néha vezethet rejtvények, ha elfelejtettem az egyik lépés.
A Webmint PUSH „Networking”, majd a „Linux tűzfal.” Change IP táblázat legördülő listából a „Hálózati címfordítás (NAT)”. A PREROUTING lánc felső PUSH Új szabály. Töltse ki az adatokat az alábbiak szerint:
„Művelet hogy” - Hold „Destination NAT” választógombot
„IP és port a DNAT” - Írja be a fogadó LAN IP és port, amelyre szeretné az ügyfelek csatlakozni a külső
„Network protocol” - Meg kell adnia a UDP vagy TCP (ha igazán akarjuk használni egy másik protokollt akkor ez az útmutató segítségével)
„Cél a TCP vagy UDP port” - A port, amelyen a kiszolgáló figyelünk erre a host ($ Megjegyzés: ez nem lehet ugyanaz a port, hogy csatlakozik a külső ügyfelek)
Most már csak az „Apply configuration”, meg minden.
tiltani az összes szabályt iptable
Ha a router lefagy majd a változtatások ne ess kétségbe, az alábbi parancsot, amely felszabadítja az összes iptables szabályok, akkor vissza a hozzáférést WebAdmin vissza:
sudo iptables -F
hasznos lehetőségeket az iptables (a tolmács):
sudo iptables -S
sudo iptables -P INPUT ACCEPT
- Az első parancs kilistázza az összes lánc és szabályokat az összes lehetőséget beállításokat.
- A második parancs lehetővé teszi, hogy változtatni az alapértelmezett művelet az INPUT lánc
Figyelem: ez a kommandó teljesen nyitott hozzáférést a router külső.
A teljes eltörlését az útmutató módosítására végre ezt a parancsot:
sudo aptitude purge webmin bind9 dhcp3-server sudo cp / etc / sysctl. conf. bak / etc / sysctl. conf
A visszaállítást követően az összes beállítást vissza kell mennie.
most már értem mmc. nah, figyelmen kívül hagyja
By the way, srácok, ha jó HOGYAN Webmint - a post itt. Angol is jön le, egy óra és fordítás kész. Különösen érdekli a BIND DNS-kezelés, tud valaki látott legalább egy említést SVN a Webmin, érdekes és inyaormativnye Administration Guide virtuális gépek számára.