Comme mis en place une simple passerelle avec Linux Debian

Quand une entreprise a une connexion à large bande à Internet et sont à la recherche de partager la connexion entre les différents bureaux, est souvent jugé nécessaire d'acheter une équipe dédiée d'pare-feu, qui est une erreur. Dans cet article, montrent que l'investissement minimum et en utilisant Debian Linux peut offrir de meilleurs services à notre réseau par l'achat d'un ordinateur de pare-feu.

L'acquisition de ce matériel mai-être trop coûteux pour de nombreuses entreprises au Guatemala, en contraste à l'aide d'une machine dédiée à Linux Debian installé et agissant comme une passerelle pour le réseau local, offre de nombreux avantages par rapport contre une équipe de pare-feu dédié. Pour commencer, est beaucoup plus flexible et il nous permet d'offrir de nombreux services supplémentaires à notre réseau.

Pour exécuter une passerelle (gateway) est nécessaire pour Debian machine avec deux cartes réseau, et que la carte externe peut rutear correctement pour le fournisseur d'accès. (Voir l'article)

À cette occasion, nous prendrons l'interface réseau eth0 pour servir directement à l'interface réseau, cette carte aura une classe C de l'adresse IP plus ou moins comme ceci: 192.168.1.1, qui sera utilisé comme passerelle par défaut pour nos machines domestiques . Cela laisse l'adresse à eth1 en dehors de la machine.

Pour une telle machine fonctionner comme une passerelle et de routage des paquets de notre réseau local pour le monde extérieur et à l'arrière, nous avons besoin d'un permis peu de la transmission d'IP, en plus des règles nécessaires pour qu'il puisse acheminer les paquets. Cela se fait via iptables.

Fondamentalement, nous avons besoin de trois ensembles de règles:

Refuser les connexions entrantes vers eth1 (l'interface réseau externe)
Autoriser les paquets sortants de notre réseau local via eth0
Autoriser les connexions en retrait.

À cette fin, nous avons créé le script suivant:

Fichier: 00-pare-feu

  # Publié sous la GPL par www.guatewireless.org 
  #! / Bin / sh 

  PATH = / usr / sbin: / sbin: / bin: / usr / bin 

 # 
  # Effacement de toutes les règles existantes. 
 # 
  iptables-F 
  iptables-t nat-F 
  iptables-t mangle-F 
  iptables-X 

  # Toujours accepter le trafic de loopback 
  iptables-A INPUT-i lo-j ACCEPT 

  # Autorise les connexions établies, et ceux qui ne viennent pas de l'extérieur. 
  iptables-A INPUT-m état - état ESTABLISHED, RELATED-j ACCEPT 
  iptables-A INPUT-m état - état NEW-i!  eth1-j ACCEPT 
  iptables-A FORWARD-i eth1-o eth0-m état - état ESTABLISHED, RELATED-j ACCEPT 

  # Autorise les connexions sortantes depuis l'intérieur de la LAN. 
  iptables-A FORWARD-i eth0-o eth1-j ACCEPT 

  # Masque. 
  iptables-t nat-A POSTROUTING-o eth1-j MASQUERADE 

  # Ne pas faire suivre l'extérieur vers l'intérieur. 
  iptables-A FORWARD-i eth1-o eth1-j REJECT 

  # Activer le routage. 
  echo 1> / proc/sys/net/ipv4/ip_forward

Nous avons besoin d'exécuter ce script pour démarrer le système et dès que les interfaces réseau sont levées. À cette fin, peut être sauvegardé dans le répertoire / etc / network / if-up.d /. Tout ce qui est dans ce répertoire est exécuté quand l'interface est levé, si le fichier est exécutable.

Parce que le contenu du répertoire est exécuté dans l'ordre, nommé le 00-script de pare-feu.

Cela nous donnera une passerelle de base. Maintenant, toute la machine dans le réseau local doit être en mesure d'accéder à l'Internet, tandis que la porte reste en sécurité.

Maintenant, nous devons penser à ajouter des services supplémentaires pour nos LAN, de la passerelle claire. Il ya un couple de choses intéressantes qui peuvent être ajoutés pour rendre la vie plus facile, par exemple, au lieu de l'affectation d'une adresse IP fixe à chaque ordinateur dans le réseau local, on peut utiliser une allocation dynamique en utilisant le protocole DHCP.

De même, nous pouvons installer un serveur de noms local, je peux reconnaître nos machines sur le réseau interne.

Un excellent ensemble qui est dnsmasq. Qui peuvent être installés via apt-get et qui est configuré via un simple fichier / etc / dnsmasq.conf.

Une fois ce logiciel en cours d'exécution, nous pouvons voir que les machines clientes pouvez trouver tout l'accueillir sur ce réseau qui inclus dans le fichier / etc / hosts à l'intérieur du serveur. Avec ce qui précède peut nommer des alias avec les machines sur le réseau et sera facilement résolu.

Par exemple, pour installer un serveur proxy au niveau de la passerelle peut créer un nom:

file: / etc / hosts

 # 
  127.0.0.1 localhost 

 # 
  # Local machines. 
 # 
  192.168.1.1 passerelle proxy gateway.guatewireless.net proxy.guatewireless.net

Cela donnera le nouveau nom de l'ordinateur proxy anciennement connu sous le nom de prince, je dis passerelle .-

".. That's all folks ..."

Popularité: 19% [?]

le 07 août 2008 à 10:53 AM # Ever

Bonjour.

Je tiens à remercier votre article et la peine avec une question en ce qui concerne ce paragraphe dans votre article "Comment faire pour configurer une simple passerelle avec Linux Debian":

«Maintenant, toute la machine dans le réseau local doit être en mesure d'accéder à l'Internet, tandis que la porte reste en sécurité."

et d'un accès internet mais j'ai perdu la partie ou pas compris, comment restreindre l'accès à des pages, des sites ou domaines, tels que ce que me frapper sont rapidshare, youtube, etc.

salutations de Mexicali

[Réponse]

fher98 a répondu le 7 août 2008:

@ Ever: L'article ne parle pas sur la façon de restreindre les sites Web. Mais pour ce faire vous pouvez utiliser n'importe quel filtrage de contenu Web. Je peux recommander dansguardian.

le 07 août 2008 à 11:06 AM # Ever

Merci pour cet article

mais je reste un doute quant à verrouiller les pages utilisateur, par exemple rapidshare, youtube, porno, etc.

le 17 octobre 2008 à 11:09 AM # Mey

La passerelle NAT effectue entre les ordinateurs sur le LAN et le routeur de votre fournisseur de services Internet. À voir avec le contrôle de la navigation devraient être les premiers à monter un proxy (Squid pourrait être sur la même passerelle Debian) et puis certains logiciels de filtrage (comme dansguardian).
Salutations .-

...::: Guatewireless.org ::::..

4 commentaires pour "Comment faire pour configurer une simple passerelle avec Linux Debian"

Vos avis, questions et liens vers le présent article sont les bienvenus ;-)

Traductions

Articles connexes

Recherche

Info

Meilleurs sites

Les plus populaires

Contenu

Fichier

Syndicate