Linux mint átjáró a helyi hálózatok és az internet között, a portál Linux könyvtárában
Linux mint átjáró a helyi hálózatok és az internet között
3. A probléma feltárása.
Meg kell engedni, hogy az első hálózatból származó gépek részei hozzáférjenek az internethez és a második hálózathoz. A második internet-hozzáférési hálózat és az első hálózat nem rendelkezik. Mindkét hálózatnak hozzáféréssel kell rendelkeznie a valódi hálózathoz (ebben a szervezetben a web, az FTP és a levélkiszolgálók). Az internetről hozzáférést kell biztosítani az igazi hálózathoz az internethez és az smtp-kiszolgálókhoz.
6. Útválasztás.
Az útválasztás az, amit a routerek a csomaggal együtt visznek a csomag átvételekor a hálózaton keresztül. Más szóval, ez a folyamat annak a módnak a kiválasztása, melyen keresztül továbbítja a csomagot a vevőegységnek és elküldi azt az út mentén. Ez egy különálló téma, különösen, ha figyelembe vesszük az autonóm rendszerek belső útvonalát, de erre most nem érdekel. Csak azt kell tudnunk, hogy van egy router, amely mindent tud a hálózatunkon kívül. Általában ez a szolgáltató útválasztója, és általában az alapértelmezett átjárónak hívják. Az átjárónál meg kell adnod, különben ez lesz az egyik oka annak, hogy mi nem fogunk az interneten.
a szervezet web-szervere - 193.193.1.2
mail szerver - 193.193.1.3
A szervezet FTP szervere - 193.193.1.4
A parancs használata
ellenőrizzük az átjárónk magjának képességét arra, hogy a hálózatok között közlekedjen. Ha a parancs eredménye "1", akkor minden rendben van. Ha "0", akkor szükség van egy ilyen parancsra:
# echo 1> / proc / sys / net / ipv4 / ip_forward
és ellenőrizze újra az előző parancsot. Ha még mindig "0", akkor a jelenlegi rendszermag nem támogatja a csomagok átirányítását az interfészek között (ami szükséges az útválasztáshoz), és újra kell fordítani. Talán a terjesztés már rendelkezik készenléti rendszermaggal, melynek útválasztási támogatása van (a disztribúció dokumentációjából megtudhatja) - akkor érdemes telepíteni és bootolni vele.
Most parancs
Ha egy kifejezés, mint a "Perhabs iptables vagy a rendszermag frissítésre szorul", a kimeneten történik, akkor azt jelenti, hogy a rendszermag NAT támogatás nélkül és csomagszűrő nélkül fordul elő. A tanács ugyanaz, mint az előző esetben - vagy a rendszermag az elosztásban van, vagy a meglévőt újra kell építeni.
Ezután hozzon létre egy fájlt, amely tartalmazza a parancsokat a NAT és a szűrő konfigurálásához. Megnevezheti tetszés szerint, legyen iptables.conf. A következő sorokat tesszük:
# minden alkalommal, amikor töröljük az összes használt láncot a használt táblázatokban
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F POSTROUTING
# állítsa be az alapértelmezett irányelveket
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# mindenki hozzáférhet a webszerverhez
iptables -A FORWARD -d 193.193.1.2 -p tcp --port 80 -j ACCEPT
# Minden más megtagadása a webszerverre, kivéve az icmp (pings, traceroute és mindent)
iptables -A FORWARD -d 193.193.1.2 -p. icmp -j DROP
# mindenkinek engedélyezi a smtp számára a levelezéshez való hozzáférést
iptables -A FORWARD -d 193.193.1.3 -p tcp --port 25 -j ACCEPT
# lehetővé tesszük a helyiek számára, hogy felvehessék a leveleket a POP3-on
iptables -A FORWARD -s 192.168.1.0/24 -d 193.193.1.3 -p tcp -port 110-j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -d 193.193.1.3 -p tcp -port 110-j ACCEPT
# Minden más megtagadása az e-mailen, kivéve az icmp (pings, traceroute és minden)
iptables -A FORWARD -d 193.193.1.3 p. icmp -j DROP
# engedélyezzük, hogy a helyiek hozzáférjenek a szervezet FTP szerveréhez
iptables -A FORWARD -s 192.168.1.0/24 -d 193.193.1.4 -p tcp -dport 20 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 193.193.1.4 -p tcp -dport 21 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -d 193.193.1.4 -p tcp -dport 20 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -d 193.193.1.4 -p tcp -dport 21 -j ACCEPT
# Minden más megtagadása az ftp, kivéve az icmp (pings, traceroute és minden)
iptables -A FORWARD -d 193.193.1.4 p. icmp -j DROP
# ezek a gépek megyek az internetre
# de nem szükségünk van arra, hogy álarcosak és amikor valódi hálózatunkba lépünk
iptables -t nat -A POSTROUTING -s 192.168.1.1 -d. 1.1.1.0/192 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.2 -d. 1.1.1.0/192 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.3 -d. 1.1.1.0/192 -j MASQUERADE
Az iptables leírása itt érhető el -
Nos, a szervezet minden gépén ezt az átjárót kell megadni az alapértelmezett átjáróként. Ha ugyanaz az átjáró rendelkezik saját DNS-kiszolgálóval, azt is meg kell adni. Ha az internetszolgáltató DNS-kiszolgálójával kíván együttműködni, regisztrálnia kell azt, nem pedig az átjárónkat.
Akkor meg kell adnunk a forgatókönyvnek a végrehajtási jogot, és oda kell rendelnünk valahová, amely minden indításnál elindítaná.
10. FONTOS.
Ne használja ezt a példát valódi munkában. SEMMILYEN ESETBEN. Ez csak egy példa, illusztráció. Alapvető, de nagyon ajánlott. Ebben a példában feltételezzük, hogy az átjáróban nincsenek hálózati szolgáltatások, azaz i. A netstat -antpu parancs kimenete üres. Ez jó, és erre törekedni kell, de ez nem mindig lehetséges (különféle okok miatt). Van egy alapértelmezett ACCEPT irányelv is a láncokra vonatkozóan, ami szintén nem mindig jó (ebben az esetben bárki, nem csak a megbízható boltok fogadják az átjárót alapértelmezett átjáróként), bár nagyban leegyszerűsíti a konfigurációt. Jó módon a politikát a DROP-ban kell beállítani, és külön szabályokat kell előírnia az ICMP és DNS forgalom (legalábbis) fogadására. Nos, valószínűleg van valami, amit csak hiányoltam.
12. Megjegyzések.
A példa alapján - ezhikov.
A "Hálózat" szakaszban szereplő összes cikk