Sommario
L'accesso a Internet (o ad altre reti se preferisci) in una LAN è il punto di uscita per le reti domestiche, aziendali, governative, ecc. Che sia a casa, al lavoro o in laboratorio, la corretta amministrazione delle risorse gioca un ruolo fondamentale nel corretto svolgimento delle attività. L'accesso a Internet e i servizi basati sul web rappresentano punti critici nella gestione delle risorse informatiche.Una rete LAN ha un punto di interconnessione in cui tutte le comunicazioni vengono "instradate" verso altre reti, e quindi attraverso Internet. Normalmente nelle connessioni domestiche, il provider di servizi Internet (ISP) installa un dispositivo che funge da modem e router per la rete, consentendo a tutti i computer della LAN di accedere ai servizi Internet.
Che cos'è un router?“È un dispositivo che fornisce connettività a livello di livello di rete del modello ISO/OSI. La sua funzione principale è quella di inviare o instradare pacchetti dati da una rete all'altra, cioè interconnettere sottoreti, intendendo per sottorete un insieme di macchine IP che possono comunicare senza l'intervento di un router (tramite bridge), e quindi hanno reti diverse prefissi."
I router quindi interconnettono le reti; ad esempio se Bob è nella sottorete 10.0.0.0/24 e Alice è nella sottorete 20.0.0.0/24, poiché appartengono a sottoreti diverse, non possono comunicare direttamente. Se è installato un router con accesso a entrambe le sottoreti (ad esempio con 2 schede di rete, ognuna configurata su ciascuna sottorete) Bob potrebbe utilizzare il router per inviare dati ad Alice e viceversa.
INGRANDIRE
Ogni host mantiene una tabella di routing, dove punta sostanzialmente all'indirizzo IP del router che può instradarlo a un indirizzo IP (rete o host). Nel caso della stessa sottorete, ogni host "sa" che può comunicare direttamente con altri sistemi sulla sottorete stessa (perché sono "vicini" sulla stessa sottorete e non hanno bisogno di router per comunicare).In una tipica LAN, gli host configurano un indirizzo IP e una subnet mask che determinano lo spazio di indirizzi che possono contattare senza bisogno di router. Se gli host devono accedere a Internet, viene inoltre configurato un gateway predefinito, che indica l'indirizzo IP del router utilizzato per l'accesso a Internet.
Anche la configurazione dei nameserver o DNS è importante, ma per questa guida utilizzeremo il DNS di Internet, ad esempio 8.8.8.8 (il DNS pubblico di Google).
Nel caso del gateway predefinito su una LAN, il router non fornisce solo servizi di routing ma anche di mascheramento. Il mascheramento è necessario affinché i pacchetti vengano inviati a Internet con l'indirizzo IP wan del router, ovvero l'ip che il router ha nella sottorete del provider Internet, in modo che i sistemi intermedi possano instradare il percorso del router indietro indipendentemente dalla LAN Indirizzo IP che ha inviato il pacchetto. In questo modo, ogni sottorete LAN può essere configurata con qualsiasi indirizzo indipendentemente dal fatto che altri client la utilizzino, poiché il router modifica l'indirizzo IP di origine con il proprio prima di inviare i pacchetti. Quando un pacchetto "ritorna" da Internet, il router utilizza un registro di connessione e "sa" a quale host consegnare il pacchetto.
In una tipica LAN, il modem ADSL funge da router e gateway predefinito per la LAN. Il punto è che l'indirizzo IP pubblico è assegnato al dispositivo ADSL e fornisce l'accesso attraverso la rete LAN configurabile (di solito una rete 192.168.1.0/24).
Lo stesso dispositivo ADSL, normalmente assegna le configurazioni di rete alla LAN tramite DHCP, quindi è sufficiente configurare il computer affinché prenda una configurazione in automatico e poi tutto funziona.
A seconda del modello di Modem e del tipo di accesso a Internet, è possibile che il Modem agisca solo come tale, essendo un requisito che l'host ad esso connesso avvii la connessione Internet (ad esempio tramite PPPoE). In altri casi è possibile "instradare" il Modem a fungere da Modem-Router, stabilendo la connessione Internet stessa. Alcuni provider forniscono l'accesso diretto alla rete pubblica, indicando al client l'indirizzo IP pubblico fisso assegnato, il gateway predefinito e il DNS. Che l'indirizzo IP sia pubblico, determina sostanzialmente che qualsiasi host nel mondo connesso ad internet (senza restrizioni) potrà contattarci direttamente.
Questo è di solito il caso delle reti aziendali ed è per questo che questa guida viene presentata in tale scenario.
Sistemi coinvoltiLAN:
Bob:
Indirizzo MAC: AA: BB: CC: 22: 33: 44
Indirizzo IP: 192.168.1.2/24 (Assegnabile tramite DHCP)
Sistema operativo: Windows XP
Gateway di rete (DNS + DHCP):
Indirizzo MAC (LAN): AA: BB: CC: 44: 55: 66
Indirizzo IP LAN: 192.168.1.1/24
Indirizzo IP WAN: 200.51.2.1/30
Percorso predefinito utilizzando 200.51.2.2/30
Sistema operativo: GNU / Linux Ubuntu
INTERNET:
Router Internet:
Indirizzo IP1: 200.51.2.2/30
Indirizzo IP2: 180.0.0.2/16
…
Sistema operativo: GNU / Linux Ubuntu 14.04
Alice (webserver):
Indirizzo IP: 180.0.0.1/16
INGRANDIRE
Nel grafico i sistemi a destra del cloud internet sono sistemi connessi alla rete pubblica. Bob è su una LAN e il router che agisce come gateway predefinito (o gateway predefinito LAN di Bob) è il sistema su cui ci concentreremo.Quest'ultimo deve fornire servizi DHCP alla LAN di Bob e un servizio gateway (router con masquerade).
1) In primo luogo, le interfacce di rete del router devono essere configurate, in modo che abbia una connessione sulla LAN (192.168.1.1/24) e su Internet (WAN, 200.51.2.1/30); Per fare ciò, modifica il file di configurazione di rete:
# vim / etc / rete / interfacce2) Supponendo che eth0 sia l'interfaccia LAN ed eth1 sia l'interfaccia WAN, specificare le impostazioni come segue:
Si noti che è stato indicato all'inizio che le interfacce di rete dovrebbero alzarsi automaticamente con l'interfaccia di loopback, tramite la direttiva "auto"
Quindi per ogni interfaccia, LAN o eth0 e WAN o eth1, la configurazione di rete è stata specificata staticamente.
In questo caso, assumiamo che l'ISP o l'ISP di Bob gli abbia assegnato l'indirizzo IP pubblico e risolva 200.51.2.1/30 e il suo gateway sia 200.51.2.2.
3) Configurare il nome del Gateway modificando i file "/etc/hostname" e "/etc/hosts"
Sostituisci il nome che appare attualmente facendo attenzione a mettere lo stesso in entrambi. Per questo tutorial ho selezionato "Gateway" come nome.
Correre:
# vim / etc / hostnameInserisci il nuovo nome:
Quindi esegui nel terminale:
# vim / etc / hostsE specificare il nome del router come mostrato di seguito:
4) La funzionalità di inoltro dei pacchetti deve essere attivata nel Gateway che stiamo configurando, in modo che funga da router. Eseguire in un terminale Gateway:
# vim /etc/sysctl.conf5) Quindi decommenta la riga "net.ipv4.ip_forward = 1”E riavviare (per motivi di test)
Per testare la configurazione, eseguire nel terminale:
# cat / proc / sys / net / ipv4 / ip_forwardSe l'uscita è "1" significa che la funzione di inoltro dei pacchetti è attivata:
6) Una volta che il sistema è configurato come router, aggiungere la funzionalità di mascheramento. Insieme a iptables È possibile indicare che il traffico in uscita dalla LAN verso qualsiasi rete (internet) è mascherato da questo Gateway.
Esegui il seguente comando:
# echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.shQuesto genera il file "/etc/reglas-fw.sh". Ora concedi i permessi di esecuzione:
# chmod + x /etc/init.d/rules-fw.shQuindi con update-rc.d indicare di eseguire rules-fw.sh all'avvio:
# update-rc.d regole-fw.sh start 90 2 3 4 5.Infine riavvia e verifica se la regola è stata applicata. Per fare ciò, dopo il riavvio, eseguire:
# iptables -t nat -L -nE l'output dovrebbe mostrare le regole applicate, in cui dovrebbe apparire quella di mascheramento:
7) Affinché il router assegni le impostazioni di rete agli host sulla LAN, installare un server DHCP con il seguente comando:
# apt-get install isc-dhcp-server8 ) Configurare il servizio DHCP in modo che utilizzi solo l'interfaccia di rete LAN (non vogliamo distribuire IP su Internet!). Per fare ciò, modifica il file di configurazione:
# vim / etc / default / isc-dhcp-serverSpecificare l'interfaccia lan:
9) Modifica il file di configurazione del server DHCP per determinare il pool di indirizzi IP, il gateway da assegnare, ecc. Esegui su una terminazione:
# vim /etc/dhcp/dhcpd.confImmettere la configurazione della sottorete, i dns da assegnare e il gateway. Per l'host di Bob abbiamo forzato l'assegnazione dell'indirizzo IP 192.168.1.2 sempre:
subnet 192.168.1.0 netmask 255.255.255.0 {router opzionali 192.168.1.1; opzione server-nome-dominio 8.8.8.8; opzione nome a dominio "lan"; autorevole; } host Bob {hardware ethernet AA: BB: CC: 22: 33: 44; indirizzo fisso 192.168.1.2; }
Riavvia il servizio:
# /etc/init.d/isc-dhcp-server restart
Controllare nel syslog di sistema se un client richiede l'assegnazione dell'IP:
INGRANDIRE
Come visto nel tutorial DHCP Spoofing Simple, l'assegnazione IP tramite DHCP assegna a Bob l'indirizzo che abbiamo specificato con il suo indirizzo MAC.
10) Se tutto è impostato correttamente, Bob potrebbe eseguire il ping di Alice:
12) Infine, Bob accede al sito Web di Alice:
È importante notare che sebbene questa guida sia basata su uno scenario semplice, i comandi ei metodi di configurazione non variano da scenario a scenario poiché i componenti e il software coinvolti sono gli stessi. Esistono distribuzioni Linux appositamente preparate per agire come router su una LAN, come OpenWRT, DD-WRT e Pfsense (freeBSD). Queste distribuzioni forniscono un'interfaccia di configurazione amichevole e non richiedono comandi immessi manualmente nei terminali. Questa è una semplice proposta per configurare il nostro Gateway basato su GNU/Linux senza l'ausilio di wizard di configurazione, cioè "fatto interamente a mano".Nei tutorial successivi, a questa guida verrà aggiunta l'opzione per configurare un DNS locale, un firewall completo e il servizio Proxy, per gestire l'accesso a Internet, quindi fai attenzione.Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo