Linux в качестве шлюза

Пошаговая настройка роутера на Debian

Ранее я уже рассматривал настройку программных роутеров на операционных системах freebsd и centos. Сегодня я хочу настроить интернет шлюз для локальной сети на основе популярного linux дистрибутива Debian. Выполним подготовку сервера и реализуем основной функционал, необходимый для выхода в интернет из локальной сети.

Данная статья является частью единого цикла статьей про сервер Debian.

Введение

Я буду работать со следующим сервером:

Если у вас еще нет готового сервера, то рекомендую статью на тему установки debian. Там подробно описан весь процесс от и до.

На сервере имеются 2 сетевых интерфейса:

Файл конфигурации сетевых интерфейсов выглядит следующим образом:

Как настроить сеть в debian я подробно рассказал отдельно. Если вы еще не сделали это и не выполнили предварительную настройку debian, то рекомендую ознакомиться с материалами.

Если у вас недостаточно опыта и вы не чувствуете в себе сил разобраться с настройкой шлюза самому с помощью консоли сервера — попробуйте дистрибутив на основе centos для организации шлюза и прокси сервера в локальной сети — clearos. С его помощью можно через браузер настроить весь необходимый функционал. В отдельной статье я подробно рассказал об установке clearos.

Подготовка шлюза

Выше я привел ссылку на подробную статью с описанием настройки сервера общего назначения. Сейчас мы выполним некоторые подготовительные действия без подробностей и описания. Их вы можете почитать отдельно. Сейчас просто необходимые команды.

Сеть на будущем программном роутере настроили, доступ в интернет на сервере есть. Обновим его:

Установим MC, мне в нем удобнее всего работать, в том числе в редакторе mcedit:

Настроим часовой пояс, если раньше не сделали это:

Устанавливаем сервис ntp для автоматического обновления времени:

На этом основные подготовительные действия закончены. Приступаем к настройке шлюза.

Настройка маршрутизации, firewall и nat

Первым делом включим маршрутизацию пакетов между сетевыми интерфейсами. Для этого редактируем конфиг /etc/sysctl.conf:

Либо раскомментируйте эту строку, либо добавьте, если ее нет. Но она по-умолчанию быть должна, закомментированная со значением 1. Применяем эту настройку:

На выходе работы команды в консоли будет выведен измененный параметр со значением 1.

Теперь приступаем к самому главному — настройке фаервола iptables и nat в нем для обеспечения выхода в интернет из локальной сети. Я очень подробно рассмотрел эту тему в отдельной статье. Хотя там речь идет о другом дистрибутиве, сами правила iptables абсолютно одинаковые с точностью до строчки, за исключением маленького нюанса, связанного с тем, что правила нужно сохранять в другой файл для применения их после перезагрузки.

Я приведу здесь сразу готовый вариант файла с правилами iptables, необходимых для работы интернет шлюза в debian. В файле даны подробные комментарии ко всем значениям, так что вы без проблем разберетесь и закомментируете или наоборот раскомментируете необходимые вам значения. Качаем скрипт правил iptables — iptables-debian.sh

Копируем содержимое файла и создаем скрипт с правилами на сервере:

Вставляем в редактор правила. Редактируем их под свои нужды, обязательно заменяя переменные WAN и LAN на свои. Сохраняем файл.

Делаем файл с правилами исполняемым:

Прежде чем применить новые правила, посмотрим на текущие:

Видим, что на настраиваемом роутере firewall полностью открыт. Теперь применим новые правила и посмотрим на результат:

Все в порядке, правила применились, доступ к серверу я не потерял. Теперь сделаем так, чтобы новые правила применялись после перезагрузки. В последней строчке скрипта есть команда:

С ее помощью готовый набор правил iptables выгружаются в файл. Нам нужно сделать так, чтобы эти правила применялись при включении сетевого интерфейса во время загрузки сервера. Для этого открываем файл interfaces на редактирование и добавляем в самый конец строчку:

Для проверки перезагружаем шлюз и проверяем, все ли в порядке. По сути основная настройка программного роутера на debian завершена. Осталось сделать небольшое дополнение и настроить dhcp и dns сервер в локальной сети. Я для этих целей использую простой и легкий в настройке dnsmasq.

Установка и настройка dnsmasq в Debian

Выполним установку dnsmasq на дебиан:

Сделаем минимальную настройку программы. Нам нужно просто выдавать сетевые настройки пользователям. Для этого приводим конфигурационный файл dnsmasq к следующему виду:

В данном случае мы будем выдавать пользователям ip адреса в диапазоне от 10.0.15.50 до 150. Сохраняем конфиг, добавляем программу в автозагрузку и запускаем.

Теперь можно запускать компьютер пользователя локальной сети, получать сетевые настройки по dhcp и проверять работу интернет шлюза.

Посмотреть выданные leases можно в файле /var/lib/misc/dnsmasq.leases. На этом настройка интернет шлюза на debian 8 закончена. Все что нужно для обеспечения доступа в интернет из локальной сети сделано. Получился программный роутер с широкими возможностями по наращиванию функционала.

Просмотр загрузки сети с помощью iftop

Теперь представим ситуацию, что кто-то забил весь интернет канал и вам надо быстро выяснить, кто это сделал. По-умолчанию, никаких подручных и удобных средств на шлюзе для этого нету. Установим одно из таких средств — программу iftop. Это простая консольная утилита, которая дает возможность оперативно посмотреть статистику загруженности сетевого интерфейса в реальном времени.

Устанавливаем iftop на debian:

Для просмотра активности сетевого интерфейса, запускаем утилиту, указывая необходимый ключ:

Чтобы увидеть порты, по которым идет трафик, добавляем ключ -P:

На основе этой картинки уже можно сделать определенные выводы по использованию интернет канала. Обращаю внимание, что я смотрю загрузку локального интерфейса eth1. Если смотреть на eth0, то мы увидим только исходящие соединения сервера.

Заключение

Вот так легко и быстро можно настроить роутер, маршрутизатор или шлюз в интернет. Названия разные, а суть одна. В данном случае я использовал операционную систему Debian, но схожий функционал легко организовать на Freebsd или CentOS. Для решения текущей задачи разница в работе не будет заметна. Каждый выбирает то, что больше нравится и к чему привык.

Пройдемся быстренько по этапам того, что сделали:

1. Подготовили сервер Debian к настройке шлюза.
2. Настроили маршрутизацию, iptables, нат. Проверили, что весь функционал восстанавливается после перезагрузки.
3. Установили и настроили простой dhcp сервер и кэширующий dns сервер — dnsmasq. С его помощью автоматизировали поучение сетевых настроек пользователями.
4. Установили простое средство мониторинга сетевой активности в консоли в режиме реального времени с помощью утилиты iftop.

На этом мы закончили настройку. Как продолжение развития темы интернет шлюза можно заняться настройкой прокси сервера для управления доступам к ресурсам интернета, или сервера openvpn для подключения филиалов или удаленных сотрудников. Для примера привел ссылки на другие дистрибутивы. Со временем планирую описать реализацию этого функционала на debian. Принципиальных отличий нет, только нюансы разных дистрибутивов.

Напоминаю, что данная статья является частью единого цикла статьей про сервер Debian.

Источник

Блог начинающего сисадмина

Здесь уже не будет ничего нового интересного, лучше загляните сюда: https://medium.com/@Amet13

пятница, 28 июня 2013 г.

Компьютер на базе GNU/Linux в качестве шлюза

Предположим у нас есть 2 компьютера/ноутбука (не важно), на одном из которых две сетевые карты. Мы хотим обеспечить интернетом 2 этих компьютера без использования коммутатора/маршрутизатора.
Пусть первый компьютер имеет две сетевые карты и на нем установлен linux. На втором компьютере установлен windows. Имеется выход в интернет.
В качестве шлюза у нас будет выступать компьютер с linux на борту, от него будет принимать интернет, компьютер с windows на борту.
Схемка примерно такая:

Пусть у нас провайдер раздает ip-шники по DHCP. Тогда нам не надо париться со статическим ip-адресом для linux’а.

Первым делом нужно, естественно, настроить linux.
Первая сетевая карта (eth0) будет подключена к интернету, так как используется DHCP, то в файле /etc/network/interfaces для интерфейса eth0 можно написать:
auto eth0
iface eth0 inet dhcp
Тут все понятно. Если же провайдер раздает статические ip-шники, то нужно у него и спросить, тут писать не буду, еще гуглить по запросу «статический ip-адрес linux».

Вторая сетевая карта (eth1) будет связывать linux и windows.
Так как, DHCP сервер мы не настраивали, то ip-шник сделаем статическим.
В файл /etc/network/interfaces допишем настройки для eth1:

auto eth1
iface eth1 inet static #адрес статический
address 192.168.1.2 #ip-адрес
netmask 255.255.255.0 #маска

В итоге, после этих настроек, файл /etc/network/interfaces должен выглядеть примерно так:
auto lo #петля
iface lo inet loopback

auto eth0 #на интернет
iface eth0 inet dhcp

auto eth1 #на windows

iface eth1 inet static
address 192.168.1.2
netmask 255.255.255.0

Так, как мы отредактировали системный файл, мы должны перезагрузить демон сети:
$ sudo /etc/init.d/networking restart

Пока оставим в сторону linux, перейдем к настройке windows.
Соединим витухой сетевую карту eth1 (linux) и единственную сетевую карту на windows.
Должно установиться соединение и в настройках этого соединения в windows нужно прописать:
Ip-адрес: 192.168.1.3
Маска подсети: 255.255.255.0
Шлюз: 192.168.1.2 #ip-шник eth1 (linux)
DNS: 192.168.1.2 #ip-шник eth1 (linux)

Сохраняем это все дело.
Пробуем пинговать с windows наш linux, в командной строке пишем:
ping 192.168.1.2
Если пинг идет, значит коннект есть, но это не значит, что интернет уже доступен на windows, нужно еще настроить правила маршрутизации и DNS-сервер.

Опять возвращаемся к linux.
Первым делом нужно разрешить пересылку пакетов между интерфейсами, то есть чтобы, принятый пакет на eth0, можно было отправить на eth1:

iptables -I FORWARD -p tcp —tcp-flags SYN,RST SYN -j TCPMSS —clamp-mss-to-pmtu

Теперь установим пакет dnsmasq, он необходим для перенаправления DNS запросов, вышестоящим серверам:

$ sudo apt-get install dnsmasq

Попробуем проверить, работает ли DNS на windows.
В windows, в консоли, пишем:

Источник