Konfigurieren Sie einen GNU / Linux-basierten Router

Inhaltsverzeichnis
Der Zugang zum Internet (oder anderen Netzwerken, wenn Sie so wollen) in einem LAN ist der Ausgangspunkt für Heim-, Firmen-, Regierungs- usw. Netzwerke. Ob zu Hause, am Arbeitsplatz oder im Labor, die richtige Verwaltung von Ressourcen spielt eine grundlegende Rolle für die ordnungsgemäße Durchführung von Tätigkeiten. Internetzugang und webbasierte Dienste stellen kritische Punkte bei der Verwaltung von Computerressourcen dar.
Ein LAN-Netzwerk hat einen Verbindungspunkt, an dem alle Kommunikationen zu anderen Netzwerken und somit über das Internet "geroutet" werden. Normalerweise installiert der Internetdienstanbieter (ISP) bei inländischen Verbindungen ein Gerät, das als Modem und Router für das Netzwerk fungiert und allen Computern im LAN den Zugriff auf Internetdienste ermöglicht.
Was ist ein Router?„Es ist ein Gerät, das Konnektivität auf der Ebene der Netzwerkschicht des ISO/OSI-Modells bietet. Seine Hauptfunktion besteht darin, Datenpakete von einem Netzwerk zu einem anderen zu senden oder weiterzuleiten, d Präfixe."
Die Router verbinden dann Netzwerke miteinander; Wenn sich beispielsweise Bob im Subnetz 10.0.0.0/24 und Alice im Subnetz 20.0.0.0/24 befindet, können sie nicht direkt kommunizieren, da sie zu verschiedenen Subnetzen gehören. Wenn ein Router mit Zugriff auf beide Subnetze installiert ist (z. B. mit 2 Netzwerkkarten, die jeweils in jedem Subnetz konfiguriert sind), könnte Bob den Router verwenden, um Daten an Alice zu senden und umgekehrt.

VERGRÖSSERN

Jeder Host unterhält eine Routing-Tabelle, in der er im Wesentlichen auf die IP-Adresse des Routers verweist, der ihn an eine IP-Adresse (Netzwerk oder Host) weiterleiten kann. Im Fall des gleichen Subnetzes „weiß“ jeder Host, dass er direkt mit anderen Systemen im Subnetz selbst kommunizieren kann (weil sie „Nachbarn“ im selben Subnetz sind und keine Router zur Kommunikation benötigen).
In einem typischen LAN konfigurieren Hosts eine IP-Adresse und eine Subnetzmaske, die den Adressraum bestimmt, den sie ohne Router kontaktieren können. Wenn die Hosts auf das Internet zugreifen müssen, wird zusätzlich ein Standard-Gateway konfiguriert, das die IP-Adresse des Routers angibt, der für den Internetzugang verwendet wird.
Die Konfiguration von Nameservern oder DNS ist ebenfalls wichtig, aber für diese Anleitung verwenden wir Internet-DNS, zum Beispiel 8.8.8.8 (Googles öffentliches DNS).
Für den Fall des Standard-Gateways in einem LAN bietet der Router nicht nur Routing-Dienste, sondern auch Maskierung. Die Maskierung ist notwendig, damit Pakete mit der wan-IP-Adresse des Routers, also der IP, die der Router im Subnetz des Internet-Providers hat, ins Internet gesendet werden, damit zwischengeschaltete Systeme den Weg des Routers unabhängig vom LAN weiterleiten können IP-Adresse, die das Paket gesendet hat. Auf diese Weise kann jedes LAN-Subnetz mit einer beliebigen Adresse konfiguriert werden, unabhängig davon, ob andere Clients es verwenden, da der Router die Quell-IP-Adresse mit seiner eigenen ändert, bevor er die Pakete sendet. Wenn ein Paket aus dem Internet "zurückkommt", verwendet der Router ein Verbindungsprotokoll und "weiß", an welchen Host er das Paket liefern soll.
In einem typischen LAN fungiert das ADSL-Modem als Router und Standard-Gateway für das LAN. Der Punkt ist, dass dem ADSL-Gerät die öffentliche IP-Adresse zugewiesen wird und es den Zugriff über das konfigurierbare LAN-Netzwerk (normalerweise ein 192.168.1.0/24-Netzwerk) ermöglicht.
Das gleiche ADSL-Gerät weist dem LAN normalerweise Netzwerkkonfigurationen über DHCP zu, sodass Sie den Computer nur so konfigurieren müssen, dass er eine Konfiguration automatisch übernimmt, und dann funktioniert alles.
Je nach Modemmodell und Art des Internetzugangs ist es möglich, dass das Modem nur als solches fungiert, da der angeschlossene Host die Internetverbindung (z. B. über PPPoE) initiieren muss. In anderen Fällen ist es möglich, das Modem so zu "routen", dass es als Modem-Router fungiert und die Internetverbindung selbst herstellt. Einige Anbieter bieten direkten Zugriff auf das öffentliche Netzwerk und zeigen dem Client die zugewiesene feste öffentliche IP-Adresse, das Standardgateway und das DNS an. Dass die IP-Adresse öffentlich ist, bestimmt grundsätzlich, dass jeder Host auf der Welt, der mit dem Internet verbunden ist (ohne Einschränkungen), uns direkt kontaktieren kann.
Dies ist normalerweise bei Unternehmensnetzwerken der Fall, und deshalb wird dieser Leitfaden unter einem solchen Szenario präsentiert.
Beteiligte SystemeLAN:
Bob:
MAC-Adresse: AA: BB: CC: 22: 33: 44
IP-Adresse: 192.168.1.2/24 (über DHCP zuweisbar)
Betriebssystem: Windows XP
Netzwerk-Gateway (DNS + DHCP):
MAC-Adresse (LAN): AA: BB: CC: 44: 55: 66
LAN-IP-Adresse: 192.168.1.1/24
WAN-IP-Adresse: 200.51.2.1/30
Standardpfad mit 200.51.2.2/30
Betriebssystem: GNU / Linux Ubuntu
INTERNET:
Internet-Router:
IP1-Adresse: 200.51.2.2/30
IP2-Adresse: 180.0.0.2/16

Betriebssystem: GNU / Linux Ubuntu 14.04
Alice (Webserver):
IP-Adresse: 180.0.0.1/16

VERGRÖSSERN

In der Grafik handelt es sich bei den Systemen rechts neben der Internet-Cloud um Systeme, die mit dem öffentlichen Netzwerk verbunden sind. Bob befindet sich in einem LAN, und der Router, der als Standard-Gateway (oder Bobs LAN-Standard-Gateway) fungiert, ist das System, auf das wir uns konzentrieren werden.
Letzterer muss Bobs LAN DHCP-Dienste und einen Gateway-Dienst (Router mit Maskerade) bereitstellen.
1) Zunächst müssen die Netzwerkschnittstellen des Routers so konfiguriert werden, dass er eine Verbindung zum LAN (192.168.1.1/24) und zum Internet (WAN, 200.51.2.1/30) hat; Bearbeiten Sie dazu die Netzwerkkonfigurationsdatei:

 # vim / etc / Netzwerk / Schnittstellen 

2) Angenommen, eth0 ist die LAN-Schnittstelle und eth1 die WAN-Schnittstelle, legen Sie die Einstellungen wie folgt fest:

Beachten Sie, dass zu Beginn angegeben wurde, dass die Netzwerkschnittstellen automatisch mit der Loopback-Schnittstelle mit der Anweisung "auto" angehoben werden sollen
Dann wurde für jede Schnittstelle, LAN oder eth0 und WAN oder eth1, die Netzwerkkonfiguration statisch festgelegt.
Für diesen Fall nehmen wir an, dass Bobs ISP oder ISP ihm die öffentliche IP-Adresse zugewiesen hat und 200.51.2.1/30 behebt und sein Gateway 200.51.2.2 ist.
3) Konfigurieren Sie den Namen des Gateways, indem Sie die Dateien "/etc/hostname" und "/etc/hosts" bearbeiten.
Ersetzen Sie den Namen, der derzeit angezeigt wird, und achten Sie darauf, in beiden den gleichen Namen einzugeben. Für dieses Tutorial habe ich als Namen "Gateway" gewählt.
Laufen:

 # vim / etc / hostname 

Geben Sie den neuen Namen ein:

Dann im Terminal ausführen:

 # vim / etc / hosts 

Und geben Sie den Namen des Routers wie unten gezeigt an:

4) Die Paketweiterleitungsfunktionalität muss im Gateway, das wir konfigurieren, aktiviert sein, damit es als Router fungiert. Führen Sie in einem Gateway-Terminal aus:

 # vim /etc/sysctl.conf 

5) Dann entkommentieren Sie die Zeile "net.ipv4.ip_forward = 1”Und Neustart (aus Testgründen)

Um die Konfiguration zu testen, führen Sie im Terminal aus:

 # cat / proc / sys / net / ipv4 / ip_forward 

Wenn der Ausgang "1" ist, bedeutet dies, dass die Paketweiterleitungsfunktion aktiviert ist:

6) Sobald das System als Router konfiguriert ist, fügen Sie Maskierungsfunktionen hinzu. Mit iptables Es ist möglich anzugeben, dass der ausgehende Verkehr vom LAN zu einem beliebigen Netzwerk (Internet) von diesem Gateway maskiert wird.
Führen Sie den folgenden Befehl aus:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

Dadurch wird die Datei "/etc/reglas-fw.sh" generiert. Erteilen Sie nun Ausführungsberechtigungen:

 # chmod + x /etc/init.d/rules-fw.sh 

Dann mit update-rc.d angeben, dass rules-fw.sh beim Start ausgeführt werden soll:

 # update-rc.d rules-fw.sh start 90 2 3 4 5. 

Starten Sie abschließend neu und testen Sie, ob die Regel angewendet wurde. Führen Sie dazu nach dem Neustart Folgendes aus:

 # iptables -t nat -L -n 

Und die Ausgabe sollte die angewendeten Regeln zeigen, in denen die Maskierungsregeln erscheinen sollen:

7) Damit der Router den Hosts im LAN Netzwerkeinstellungen zuweist, installieren Sie einen DHCP-Server mit dem folgenden Befehl:

 # apt-get install isc-dhcp-server 

8 ) Konfigurieren Sie den DHCP-Dienst so, dass er nur die LAN-Netzwerkschnittstelle verwendet (wir wollen keine IPs an das Internet verteilen!). Bearbeiten Sie dazu die Konfigurationsdatei:

 # vim / etc / default / isc-dhcp-server 

Geben Sie die LAN-Schnittstelle an:

9) Bearbeiten Sie die Konfigurationsdatei des DHCP-Servers, um den Pool der IP-Adressen, das zuzuweisende Gateway usw. zu bestimmen. Bei Beendigung ausführen:

 # vim /etc/dhcp/dhcpd.conf 

Geben Sie die Subnetzkonfiguration, die zuzuweisende DNS und das Gateway ein. Für Bobs Host haben wir erzwungen, dass die IP-Adresse 192.168.1.2 immer zugewiesen wird:

 Subnetz 192.168.1.0 Netzmaske 255.255.255.0 {Option Router 192.168.1.1; Option Domain-Name-Server 8.8.8.8; Option Domänenname "lan"; maßgebend; } Host Bob {Hardware-Ethernet AA: BB: CC: 22: 33: 44; feste Adresse 192.168.1.2; } 

Starten Sie den Dienst neu:
 # /etc/init.d/isc-dhcp-serverneustart 

Überprüfen Sie im System-Syslog, ob ein Client eine IP-Zuweisung anfordert:
VERGRÖSSERN

Wie im Tutorial DHCP Spoofing Simple gezeigt, weist die IP-Zuweisung über DHCP Bob die Adresse zu, die wir mit seiner MAC-Adresse angegeben haben.

10) Wenn alles richtig eingerichtet ist, könnte Bob Alice anpingen:

12) Schließlich greift Bob auf Alices Website zu:

Es ist wichtig zu beachten, dass dieses Handbuch zwar auf einem einfachen Szenario basiert, sich die Konfigurationsbefehle und -methoden jedoch nicht von Szenario zu Szenario unterscheiden, da die beteiligten Komponenten und die verwendete Software gleich sind. Es gibt Linux-Distributionen, die speziell dafür vorbereitet sind, als Router in einem LAN zu fungieren, wie OpenWRT, DD-WRT und Pfsense (freeBSD). Diese Distributionen bieten eine benutzerfreundliche Konfigurationsoberfläche und erfordern keine manuell eingegebenen Befehle an den Terminals. Dies ist ein einfacher Vorschlag, ein eigenes Gateway auf Basis von GNU/Linux ohne die Hilfe von Konfigurationsassistenten einzurichten, also "vollständig von Hand gemacht".
In späteren Tutorials wird diesem Handbuch die Option zum Konfigurieren eines lokalen DNS, einer vollständigen Firewall und des Proxy-Dienstes hinzugefügt, um den Internetzugang zu verwalten. Seien Sie also vorsichtig.Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben
wave wave wave wave wave