Wie eine einfache Gateway mit Linux Debian
Wenn ein Unternehmen verfügt über eine Breitbandverbindung zum Internet und zu suchen, um die Verbindung zwischen den verschiedenen Büros, oft ist glaubte man, dass es erforderlich sind, um ein Team von engagierten Firewall, das ist ein Fehler. In diesem Artikel zeigen, dass mit einem Minimum von Investitionen und mit Debian-Linux bieten bessere Dienstleistungen zu unserem Netzwerk mit dem Kauf eines Computers Firewall.
Der Erwerb solcher Hardware Mai zu teuer für viele Unternehmen in Guatemala, im Gegensatz zu mit einer speziellen Maschine mit einem Debian-Linux installiert und dient als Gateway für das LAN, bietet viele Vorteile im Vergleich gegen ein Team von dedizierte Firewall. Zunächst, ist viel flexibler und ermöglicht es uns, Ihnen viele zusätzliche Dienstleistungen zu unserem Netzwerk.
So führen Sie einen Gateway (Gateway) ist erforderlich, um Debian-Rechner mit zwei Netzwerkkarten, und dass die externe Karte kann rutear korrekt auf den ISP. (Siehe Artikel)
Bei dieser Gelegenheit werden wir die Netzwerk-Schnittstelle eth0 zu dienen direkt an das interne Netzwerk, diese Karte wird eine Klasse C IP-Adresse mehr oder weniger wie folgt aus: 192.168.1.1, die benutzt werden, da das Standard-Gateway für unsere inländischen Maschinen . Dies lässt die eth1, um außerhalb der Maschine.
Für eine solche Maschine Funktion als Gateway-Routing und die Pakete von unseren LAN nach außen und wieder zurück, müssen wir haben es ermöglicht, etwas von IP-Weiterleitung, zusätzlich zu den notwendigen Regeln, so dass sie Route-Pakete. Dies geschieht mittels iptables.
Im Grunde brauchen wir drei Sätze von Regeln:
- Verweigern, eingehende Verbindungen zu eth1 (die externen Netzwerk-Schnittstelle)
- Lassen Sie ausgehende Pakete von unserer LAN über die eth0
- Verbindungen zurück.
Zu diesem Zweck haben wir das folgende Skript:
| File: 00-Firewall |
# Veröffentlicht unter der GPL durch www.guatewireless.org #! / Bin / sh PATH = / usr / sbin: / sbin: / bin: / usr / bin # # Löschen aller bestehenden Regeln. # iptables-F iptables-t nat-F iptables-t mangle-F iptables-X # Immer annehmen Verkehrs von der Loopback - iptables-A INPUT-i lo-j ACCEPT # Erlaube aufgebauten Verbindungen, und diejenigen, die nicht von außen kommen. iptables-A INPUT-m Staat - Staat, RELATED-j ACCEPT iptables-A INPUT-m Staat - Staat NEW-i! eth1-j ACCEPT iptables-A FORWARD-i eth1-o eth0-m Staat - Staat, RELATED-j ACCEPT # Erlaube ausgehende Verbindungen innerhalb des LAN. iptables-A FORWARD-i eth0-o eth1-j ACCEPT # Maske. iptables-t nat-A POSTROUTING-o eth1-j MASQUERADE # Sie nicht nach vorn außen nach innen. iptables-A FORWARD-i eth1-o eth1-j REJECT # Enable Routing. echo 1> / proc/sys/net/ipv4/ip_forward |
Wir müssen dieses Skript um das System zu starten und so schnell wie die Netzwerk-Schnittstellen, werden aufgehoben. Zu diesem Zweck gespeichert werden können in das Verzeichnis / etc / network / if-up.d /. Alles, das ist in diesem Verzeichnis wird ausgeführt, wenn eine Schnittstelle ist aufgehoben, wenn die Datei ausführbar ist.
Da der Inhalt des Verzeichnisses ausgeführt werden, um, bestellt der 00-Firewall-Skript.
Dies wird uns ein grundlegendes Gateway. Jetzt jede Maschine innerhalb des LAN muss in der Lage sein für den Zugang zum Internet, während das Tor nach wie vor sicher.
Jetzt müssen wir uns Gedanken über das Hinzufügen von zusätzlichen Dienstleistungen für unsere LAN, aus dem Gateway klar. Existen un par de cosas interesantes que se pueden agregar para hacernos la vida mas fácil, por ejemplo en lugar de asignar una dirección IP fija a cada maquina dentro de la LAN, podemos utilizar una asignación dinámica utilizando DHCP .
Ebenso können wir einen lokalen Name-Server, kann ich erkennen, unsere Maschinen auf das interne Netzwerk.
Ein ausgezeichnetes Paket, das dnsmasq. Welche installiert werden kann per apt-get und so konfiguriert ist, über eine einfache Datei / etc / dnsmasq.conf.
Sobald diese Software-Paket läuft diese, können wir sehen, dass die Client-Rechnern finden jeden Host-Rechner im Netzwerk, dass diese in der Datei / etc / hosts im Inneren des Servers. Mit den oben genannten benennen kann Aliase mit den Maschinen im Netzwerk und wird leicht gelöst werden.
Zum Beispiel, die Installation eines Proxy-Servers auf dem Gateway können einen Namen:
| file: / etc / hosts |
# 127.0.0.1 localhost # # Local Maschinen. # 192.168.1.1 Gateway-Proxy-gateway.guatewireless.net proxy.guatewireless.net |
Dies gibt den neuen Namen für den Proxy-Maschine früher bekannt als Prinz, ich sage Gateway .-
".. Das war's Leute ..."
Popularity: 19% [?]
am 07 Aug 2008 bei 10:53 # Ever
Hallo.
Ich möchte Ihren Artikel und die Mühe mit einer Frage in Bezug auf diesen Absatz in Ihrem Artikel "Wie konfiguriert man eine einfache Gateway mit Linux Debian":
"Jetzt alle Rechner innerhalb des LAN muss in der Lage sein für den Zugang zum Internet, während das Tor nach wie vor sicher."
und Internet-Zugang, aber ich verlor die teilweise oder nicht verstanden, wie man den Zugriff auf Seiten, Websites oder Domänen, wie, was sonst sind Schlagen Sie mich rapidshare, YouTube, usw..
Grüße aus Mexicali
[Reply]
fher98 antwortete am 7. August 2008:
@ Ever: Der Artikel nicht darüber reden, wie Websites zu beschränken. Aber für diesen Zweck können Sie eines Web-Content-Filterung. Ich kann empfehlen DansGuardian.
[Reply]
am 07 Aug 2008 bei 11:06 # Ever
Vielen Dank, dass Sie für diesen Artikel
aber ich links ein Zweifel an den Anwender-Seiten, zum Beispiel RapidShare, YouTube, Porno, usw..
Grüße aus Mexicali
[Reply]
am 17. Oct 2008 auf 11.09 Uhr # Mey
Das Gateway führt NAT zwischen Computern über das Netzwerk und die Router von Ihrem Internet Service Provider. Gehen Sie mit der Regelung der Navigation sollte die erste zu mounten einen Proxy (Squid kann auf dem gleichen Gateway Debian) und dann einige Filter-Software (z. B. DansGuardian).
Grüße .-
[Reply]