Įvadas == Norėčiau trumpai apibūdinti planą, kurio reikėtų laikytis, kad biuro kryptis interneto link būtų teisinga ir niekas nenuklystų į šalį. Iš karto pastebėsiu, kad „Unix“ šliuzai yra ne viena programa, o keliolika programų, kurių kiekviena atlieka savo veiksmą ir turi savo nustatymus. Mes naudojame: * FreeBSD 7 * natd * pavadintas, nukreiptas * ipfw * squid * squidGuard * apache * dhcpd Mano bandomasis serveris jau yra vietiniame tinkle, todėl manau, kad mano išorinis tinklas yra 192.168.0.0/24, o vidinis - 172.16.0.0/16. Galų gale, skaičiai neturi reikšmės – svarbiausia prasmė. Įdiegiau FreeBSD su minimalia konfigūracija ir mano rc.conf yra tik: hostname="vm=freepro.local" ifconfig_em0="DHCP" linux_enable="YES" sshd_enable="TAIP"== NAT nustatymas == Mano išorinė sąsaja – em0 – pagal numatytuosius nustatymus gauna IP adresą per DHCP iš įprasto maršrutizatoriaus, kurio adresas yra 192.168.1.1. Akivaizdu, kad tas pats maršrutizatorius veikia kaip DNS serveris. Pirmajame etape aš atlieku NAT (visada išorinėje sąsajoje!) ir modifikuoju /etc/rc.conf failą tokiu būdu: hostname="vm=freepro.local" defaultrouter="192.168.1.1" ifconfig_em0="inet 192.168.1.10 netmask 255.255.255.0" linux_enable="YES" sshd_enable="TAIP" # Interneto šliuzas .255 .0.0" gateway_enable="TAIP" natd_enable="TAIP" natd_interface="em0" #natd_flags="-f /etc/redirect.conf" firewall_enable="TAIP" firewall_type="open" #firewall_script="/etc/firewall . conf" router_enable="YES" router="/sbin/routed" router_flags="-q" Pataisiau išorinį adresą ir nustatiau vidinį. Dabar pataisykime DNS faile /etc/resolv.conf: vardų serveris 192.168.1.1 Tai viskas! Pradėkime teikti paslaugas: # /etc/rc.d/ipfw start # /etc/rc.d/natd start # /etc/rc.d/routed start # /etc/rc.d/named start Ir internetas veikia! Žinoma, rankiniu būdu rašome klientui: IP: 172.16.0.2 KAUKĖ: 255.255.0.0 GATE: 172.16.0.1 DNS1: 192.168.1.1Žinoma, tai labai blogi vartai. Pirma, jis visiškai neapsaugotas, antra, visiškai nesaugomas talpykloje, trečia, nukreipia visas DNS užklausas „prieš srovę“ ir visiškai neturi galimybės gauti jokios statistikos ar ką nors valdyti. Bet tai labai lengvi ir greiti vartai, o toliau koreguojant jo našumas tik didės, o ne mažės. Beje, atkreipkite dėmesį, kad dvi eilutės jau yra pakomentuotos naujame rc.conf. Pirmasis komentaras man padės ateityje „persiųsti“ kai kuriuos prievadus iš išorės į tinklo vidų. Tie. Pavyzdžiui, jei noriu pasiekti kliento kompiuterį 172.16.0.2 per ssh, turėsiu sukurti šį failą: # Failas /etc/redirect.conf redirect_port tcp 172.16.0.2:22 2222 Tai reiškia, kad jungdamasis prie serverio iš išorės per 2222 prievadą, prie vietinio tinklo mašinos pateksiu per 22 prievadą (ssh). Antras komentaras yra mano asmeninė ugniasienės konfigūracija, patobulinta ir išbandyta. == IPfw nustatymas == Mano ipfw konfigūracija šiame etape atrodo taip: #!/bin/sh # IPFW konfigūracija paprastam NAT serveriui /etc/firewall.conf cmd="/sbin/ipfw -q" IfOut="em0" IpOut="192.168.1.10" NetOut="192.168.1.0/24 " IfIn="em1" IpIn="172.16.0.1" NetIn="172.16.0.0/16" ############################# ###################### # Išvalyti ########################### ######################### $(cmd) -f flush $(cmd) table 0 flush $(cmd) table 1 flush #### # ############################################## # Baltasis sąrašas / Juodasis sąrašas # ################################################ #$ (cmd) lentelė 0 pridėti 172.16.0.12 $ (cmd) lentelė 1 pridėti 172.16.0.13 ############################# ##### ################### # Loopback ######################### ##### ##################### $(cmd) pridėti leisti IP iš bet kurio į bet kurį per lo0 ########### ###### ################################## # Blokuoti pasaulį kaip privatų ##### ###### ####################################### $(cmd) pridėti deny ip nuo bet kurio iki 127.0 .0.0/8 $(cmd) pridėti deny ip nuo 127.0.0.0/8 prie bet kurio #$(cmd) pridėti deny ip nuo 172.16.0.0/16 prie bet kurio per $(IfOut) #$( cmd) pridėti deny ip nuo 192.168 .1.0/24 prie bet kurio per $(IfOut) $(cmd) pridėti deny ip nuo bet kurio iki 10.0.0.0/8 per $(IfOut) #$(cmd) pridėti deny ip nuo bet kurio iki 172.16 .0.0/12 per $( IfOut) #$(cmd) pridėti deny ip nuo bet kurio iki 192.168.0.0/16 per $(IfOut) $(cmd) pridėti deny ip iš bet kurio prie 0.0.0.0/8 per $(IfOut) $(cmd) pridėti deny ip iš bet į 169.254.0.0/16 per $(IfOut) $(cmd) pridėti deny ip iš bet kurio prie 192.0.2.0/24 per $(IfOut) $(cmd) pridėti deny ip iš bet kurio į 224.0.0.0/4 per $ (IfOut) $(cmd) pridėkite deny ip nuo bet kurio iki 240.0.0.0/4 per $(IfOut) ##################### ####### ######################### # ICMP ################# ######### ######################### $(cmd) pridėti deny icmp iš bet į bet kurią fragą $(cmd) pridėti deny log icmp iš bet kurio prie 255.255. 255.255 in per $(IfOut) $(cmd) pridėti deny log icmp iš bet kurio prie 255.255.255.255 out per $(IfOut) ############### ######### ############################ # NAT ############ ########### ############################# $(cmd) pridėti nukreipti 8668 ip iš $ (NetIn) į bet kurį per $(IfOut) $ (cmd) pridėti nukreipti 8668 IP iš bet kurio į $(IpOut) per $(IfOut) #$(cmd) pridėti nukreipti 8668 IP iš bet kurio į bet kurį per $(IfOut) ## ########### ##################################### # Blokuoti privatus pasauliui ######## ####################################### #### $(cmd) pridėti deny ip nuo 10.0.0.0/8 prie bet kurio per $(IfOut) #$(cmd) pridėti deny ip nuo 172.16.0.0/12 prie bet kurio per $(IfOut) #$(cmd) pridėti deny ip nuo 192.168.0.0/16 prie bet kurio per $(IfOut) $(cmd) pridėti deny ip nuo 0.0.0.0/8 prie bet kurio per $(IfOut) $(cmd) pridėti deny ip nuo 169.254.0.0/16 iki bet kuris per $(IfOut) $(cmd) pridėti deny ip nuo 192. 0.2.0/24 prie bet kurio per $(IfOut) $(cmd) pridėti deny ip nuo 224.0.0.0/4 prie bet kurio per $(IfOut) $(cmd) pridėti deny ip nuo 240.0.0.0/4 prie bet kurio per $( IfOut) ############################################### # ## # Baltasis sąrašas ############################################ # #### $(cmd) pridėti leisti viską nuo "table(0)" iki bet kurio $(cmd) pridėti leisti viską nuo bet kurio iki "table(0)" ############## # ##################################### # Juodasis sąrašas ########### ### ##################################### $(cmd) add deny all from " lentelė(1 )" į bet kurią ########################################## ### #### # Išlikti įsitvirtinę ####################################### ### ####### $(cmd) pridėti leisti tcp iš bet kurio man įsteigto ############################ ### ################### # Pagrindinis ########################### ### #################### $(cmd) pridėti leisti ip nuo bet kurio prie bet kurio fragmento $(cmd) pridėti leisti icmp iš bet kurio į $(IpOut) icmptypes 0, 8,11 # dns $(cmd) add leisti tcp iš bet kurio į $(IpOut) dst-port 53 setup $(cmd) add leisti udp iš bet į $(IpOut) dst-port 53 $(cmd) add leisti udp iš $(IpOut) 53 į bet kurį $(cmd) pridėti leisti udp iš $(IpOut) į bet kurį dst-port 53 išlaikyti būseną # dns-client $(cmd) pridėti leisti tcp iš bet kurio į $(NetIn) dst -port 53 sąranka $(cmd) pridėti leisti udp iš bet kurio į $(NetIn) dst-port 53 $(cmd) pridėti leisti udp iš $(NetIn) 53 į bet kurį $(cmd) pridėti leisti udp iš $(NetIn) į bet koks dst- prievadas 53 išlaikyti būseną # laikas $(cmd) pridėti leisti udp iš $(IpOut) į bet kurį dst-port 123 išlaikyti būseną # laikas-klientas $(cmd) pridėti leisti udp iš $(NetIn) į bet kurį dst -portas 123 Keep-state # ssh-in $(cmd) pridėti leisti tcp iš bet kurio į $(IpOut) 22 $(cmd) pridėti leisti tcp iš $(IpOut) 22 į bet kurį # ssh-out $(cmd) pridėti leisti tcp nuo $ (IpOut) iki bet kurio 22 $(cmd) pridėti leisti tcp nuo bet kurio 22 iki $(IpOut) # http $(cmd) pridėti leisti tcp iš $(IpOut) į bet kurį dst prievadą 80 # http-klientas $( cmd) pridėti leisti tcp iš $(NetIn) į bet kurį dst prievadą 80 $(cmd) pridėti leisti tcp nuo bet kurio 80 iki $(NetIn) # smtp $(cmd) pridėti leisti tcp iš bet kurio į $(IpOut) dst-port 25 sąranka # persiųsti 8080 į 81 $(cmd) pridėti leisti tcp iš bet kurio į $(IpOut) dst-port 8080 $(cmd) pridėti leisti tcp iš $(IpOut) 8080 į bet kurį $(cmd) pridėti leisti tcp iš bet kurio į $(NetIn ) dst-port 81 $(cmd) add leisti tcp iš $(NetIn) 81 į bet kurį # out $(cmd) add deny log tcp iš bet į bet kurį įvedimą per $(IfOut) sąranką #$(cmd) add leisti tcp iš bet kurios į bet kurią sąranką ########################################## ### #### # Vietinis tinklas ######################################## ### ####### $(cmd) pridėti leisti viską nuo bet kurio iki bet kurio per $(IfIn) ######################## #### ####################### # Atmesti viską ###################### ##### ############################ $(cmd) pridėti atmesti viską nuo bet kurio iki bet kurio Aš konkrečiai pakomentavau kai kurias eilutes, kurios atneša paketus iš vietinių tinklų 192, 172 į išorinę sąsają, nes mano išorinė sąsaja yra vietinė. Tiesą sakant, šios eilutės yra reikalingos. Eikime toliau. == Squid nustatymas == Dabar man reikia squid – talpyklos tarpinio serverio, kuris gali protingai paskirstyti internetą visiems vartotojams pagal sistemos administratoriaus nustatytas taisykles. pkg_add -r squid Pastaba: žinoma, teisingesnis variantas yra kurti programinę įrangą iš šviežių ir atnaujintų prievadų, tačiau sutaupome laiko, todėl ją diegiame paketais. Kada nors atnaujinsime naudodami portupgrade. Kalmarams atliekame paprasčiausią sąranką – redaguojame failą /usr/local/etc/squid/squid.conf # Minimali konfigūracija SQUID acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0.5/8rc localhost 127.0.0.0.5/8rc localhost 127.0.0.0.5/8rc localhost 127.0.0.0.5. 0 .0 acl SSL_prievadai prievadas 443 acl CONNECT metodas CONNECT http_access leisti tvarkytojui vietinį pagrindinį kompiuterį http_prieigą leisti vietinį tinklą http_prieigą uždrausti tvarkytuvę http_prieigą neleisti !Safe_ports http_access deny CONNECT !SSL_ports http_access deny all icp_access leisti visus http_port hilisterarchy_stop 3128 acl QUERY urlpath_regex cgi-bin \? cache deny QUERY cache_dir ufs /usr/local/squid/cache 100 16 256 access_log /usr/local/squid/logs/access.log squid cache_log /usr/local/squid/logs/cache.log cache_store_log/usquird /logs/store.log refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl apache rep_header Serveris ^Apache sulaužytas_vary_encoding leidžia apache cache_effective_user squid cache_effective_group squid matomas_hostname vm-freepro.local icp_port 0 error_directory /usr/usr/local/cornlocuss/shrreds/Enmplird/etcrred quid/cache Sąmoningai pašalinau komentarus iš konfigūracijos failo, nes jų nėra daug, bet daug. Nepamirškite redaguoti /etc/rc.conf pridėdami eilutę: squid_enable="YES" Tada iš naujo sukurkite talpyklą ir paleiskite squid: # squid -z # /usr/local/etc/rc.d/squid start Pirmas dalykas, kurį darome įdiegę squid, yra uždrausti vietiniams vartotojams prisijungti prie interneto per 80 prievadą. 80 prievadą persiunčiame į 3128 – t.y. mes priverčiame visus vartotojus eiti tik per kalmarus. Čia yra didelis mažas laimikis. Šią operaciją galima atlikti tik įvedus IPFW palaikymą branduolyje, kitaip persiuntimas neveiks. Taip, tai reiškia, kad dabar turėsime surinkti savo branduolį! Tai nelengva užduotis, bet naudinga – surinkus branduolį, jo greitis turėtų padidėti, o apimtis – pastebimai sumažėti. Pirmiausia naudokite sysinstall, kad įdiegtumėte branduolio šaltinius: # sysinstall Eiti į /Configure/Distributions Pažymėkite src [X] base [X] sys skiltyje Dabar mes turime branduolio šaltinius aplanke /usr/src. Tada nukopijuokite GENERIC konfigūraciją į „savo“ MYKERNEL ir redaguokite MYKERNEL: # cd /usr/src/sys/i386/conf # cp GENERIC MYKERNEL # mcedit MYKERNEL Redaguodami konfigūraciją turite nurodyti šias parinktis: # Užkardos įjungimas branduolio parinktyse IPFIREWALL # Žurnalų registravimo mechanizmo "log" parinkčių įjungimas IPFIREWALL_VERBOSE # Žurnalų ribojimas - apsauga nuo perpildymo parinktys IPFIREWALL_VERBOSE_LIMIT=50 # Paketų peradresavimo mechanizmo parinkčių įjungimas IPFIREWALL_FORWARD # NAT adreso vertimo parinkčių įjungimas # IPDIVERT adreso vertimo parinkčių įjungimas # kanalo greičio ribojimo mechanizmo parinktys DUMMYNET Taip pat pašalinkite visą nereikalingą aparatinę įrangą, kurios iš tikrųjų neturite. Dabar sukurkime branduolį. Ši operacija gali užtrukti šiek tiek ilgiau ir gali nepavykti dėl klaidos, todėl reikės įdiegti papildomus šaltinius iš sysinstall, atsižvelgiant į tai, ką parašėte konfigūracijoje. Tikimės, kad ten nėra nieko perteklinio. # cd /usr/src # make buildkernel KERNCONF=MYKERNEL # make installkernel KERNCONF=MYKERNEL Dabar reikia paleisti iš naujo, bet prieš paleisdami iš naujo būtinai perskaitykite vadovą, jei negalėsite paleisti iš naujo. Žinoma, norėčiau, kad taip neatsitiktų. Taigi, paleidžiame iš naujo ir dar kartą redaguojame /etc/firewall.conf. #!/bin/sh # IPFW konfigūracija NAT serveriui ir SQUID tarpiniam serveriui cmd="/sbin/ipfw -q" IfOut="em0" IpOut="192.168.1.10" NetOut="192.168.1.0/24" IfIn= "em1" " IpIn="172.16.0.1" NetIn="172.16.0.0/16" ############################### ## ################# # Išvalyti ############################# ## #################### $(cmd) -f flush $(cmd) table 0 flush $(cmd) table 1 flush ######## # # ########################################## # Baltasis sąrašas / juodasis sąrašas #### #############################################$(cmd) lentelė 0 pridėti 172.16.0.2 $(cmd) lentelė 1 pridėti 172.16.0.13 ################################## ################ # Loopback ################################ ################### $(cmd) pridėti leisti IP iš bet kurio į bet kurį per lo0 ################### # ############################### # Blokuoti pasaulį kaip privatų ############## # ##################################### $(cmd) pridėti deny ip nuo bet kurio iki 127.0. 0.0/ 8 $(cmd) pridėti deny ip nuo 127.0.0.0/8 prie bet kurio #$(cmd) pridėti deny ip nuo 172.16.0.0/16 prie bet kurio per $(IfOut) #$(cmd) pridėti deny ip nuo 192.168. 1.0/ 24 prie bet kurio per $(IfOut) $(cmd) pridėti deny ip nuo bet kurio iki 10.0.0.0/8 per $(IfOut) #$(cmd) pridėti deny ip iš bet kurio prie 172.16.0.0/12 per $(IfOut ) # $(cmd) pridėti deny ip nuo bet kurio prie 192.168.0.0/16 per $(IfOut) $(cmd) pridėti deny ip nuo bet kurio iki 0.0.0.0/8 per $(IfOut) $(cmd) pridėti deny ip iš bet kurio bet kuris į 169.254.0.0/16 per $(IfOut) $(cmd) pridėti deny ip nuo bet kurio iki 192.0.2.0/24 per $(IfOut) $(cmd) pridėti deny ip iš bet kurio prie 224.0.0.0/4 per $( IfOut) $(cmd) pridėkite deny ip iš bet kurio į 240.0.0.0/4 per $(IfOut) ############################ ##### #################### # ICMP ######################## ##### #####################$ $(cmd) pridėti deny icmp iš bet į bet kurią frag $(cmd) pridėti deny log icmp iš bet kurio į 255.255.255.255 į per $(IfOut) $(cmd) pridėkite deny log icmp iš bet kurio iki 255.255.255.255 iš $(IfOut) ###################### ##### ######################### # NAT ################### ####### ############################# $(cmd) pridėti nukreipti 8668 ip iš $(NetIn) į bet kurį per $(IfOut) $(cmd) pridėti nukreipti 8668 IP iš bet kurio į $(IpOut) per $(IfOut) #$(cmd) pridėti nukreipti 8668 IP iš bet kurio į bet kurį per $(IfOut) ####### ######### ################################## # Blokuoti privatų pasauliui ## $ # (cmd) pridėti deny ip nuo 10.0.0.0 /8 prie bet kurio per $(IfOut) #$(cmd) pridėti deny ip nuo 172.16.0.0/12 prie bet kurio per $(IfOut) #$(cmd) pridėti deny ip nuo 192,168 .0.0/16 į bet kurį per $(IfOut ) $(cmd) pridėti deny ip nuo 0.0.0.0/8 prie bet kurio per $(IfOut) $(cmd) pridėti deny ip nuo 169.254.0.0/16 prie bet kurio per $(IfOut ) $(cmd) pridėti deny ip iš 192 . 0.2.0/24 prie bet kurio per $(IfOut) $(cmd) pridėti deny ip nuo 224.0.0.0/4 prie bet kurio per $(IfOut) $(cmd) pridėti deny ip nuo 240.0.0.0/4 prie bet kurio per $( IfOut) ############################################### # ## # Baltasis sąrašas ############################################ # #### $(cmd) pridėti leisti viską nuo "table(0)" iki bet kurio $(cmd) pridėti leisti viską nuo bet kurio iki "table(0)" ############## # ##################################### # Juodasis sąrašas ########### ### ##################################### $(cmd) add deny all from " lentelė(1 )" į bet kurią ########################################## ### #### # Išlikti įsitvirtinę ####################################### ### ####### $(cmd) pridėti leisti tcp iš bet kurio man įsteigto ############################ ### ################### # Pagrindinis ########################### ### #################### $(cmd) pridėti leisti ip nuo bet kurio prie bet kurio fragmento $(cmd) pridėti leisti icmp iš bet kurio į $(IpOut) icmptypes 0, 8,11 # dns $(cmd) add leisti tcp iš bet kurio į $(IpOut) dst-port 53 setup $(cmd) add leisti udp iš bet į $(IpOut) dst-port 53 $(cmd) add leisti udp iš $(IpOut) 53 į bet kurį $(cmd) pridėti leisti udp iš $(IpOut) į bet kurį dst-port 53 išlaikyti būseną # dns-client $(cmd) pridėti leisti tcp iš bet kurio į $(NetIn) dst -port 53 sąranka $(cmd) pridėti leisti udp iš bet kurio į $(NetIn) dst-port 53 $(cmd) pridėti leisti udp iš $(NetIn) 53 į bet kurį $(cmd) pridėti leisti udp iš $(NetIn) į bet koks dst- prievadas 53 išlaikyti būseną # laikas $(cmd) pridėti leisti udp iš $(IpOut) į bet kurį dst-port 123 išlaikyti būseną # laikas-klientas $(cmd) pridėti leisti udp iš $(NetIn) į bet kurį dst -portas 123 Keep-state # ssh-in $(cmd) pridėti leisti tcp iš bet kurio į $(IpOut) 22 $(cmd) pridėti leisti tcp iš $(IpOut) 22 į bet kurį # ssh-out $(cmd) pridėti leisti tcp nuo $ (IpOut) iki bet kurio 22 $(cmd) pridėti leisti tcp nuo bet kurio 22 iki $(IpOut) # http $(cmd) pridėti leisti tcp iš $(IpOut) į bet kurį dst prievadą 80 # http-klientas #$ (cmd) pridėti leisti tcp iš $(NetIn) prie bet kurio dst prievado 80 #$(cmd) pridėti leisti tcp nuo bet kurio 80 iki $(NetIn) # kalmaras $(cmd) pridėti leisti viską nuo $(NetIn) iki $( IpIn) 3128 per $(IfIn) $(cmd) pridėti fwd $(IpIn),3128 tcp iš $(NetIn) prie bet kurio 80 # smtp $(cmd) pridėti leidžia tcp iš bet kurio į $(IpOut) dst-port 25 sąranką # out $ (cmd) pridėti neleisti žurnalo tcp iš bet kurio į bet kurį įvedimą per $(IfOut) sąranką #$(cmd) pridėti leisti tcp iš bet kurios į bet kurią sąranką ################# ### ############################### # Vietinis tinklas ############## ### ################################# $(cmd) pridėti leisti viską nuo bet kurio iki bet per $ (IfIn) ############################################## ### # Atmesti viską ########################################### ##### ### $(cmd) pridėti deny all nuo bet kurio iki bet kurio Iš naujo paleidžiame paslaugas ir tikriname – viskas veikia, o klientai patys nepastebėti praeina pro valdymo sistemą. Kol kas atidėkime prieigos kontrolės nustatymą ir išspręskime kitą svarbią problemą: DNS gavimą. == DNS nustatymas == Šiuo metu mūsų klientai turi registruotą DNS adresą 192.168.1.1 – išorinį nuo vidinio tinklo 172.16.0.0/16. Galima sakyti, kad klientai tūkstančius kartų per dieną lipa virš serverio ieškodami adresų. Patobulinkime sistemą – sukurkime caching DNS serverį, kuris leistų išvengti tiesioginių jungčių į išorę, sutaupytų srautą ir paspartintų darbą. Prieš tai darydami nepamirškite uždrausti išorinės prieigos per 53 prievadą visiems klientams. Failo /etc/namedb/named.conf redaguojame klausymosi, ekspeditorių parametrus: parinktys (katalogas "/etc/namedb"; pid-failas "/var/run/named/pid"; dump-failas "/var/dump/named_dump.db"; statistikos failas "/var/stats/named.stats" "; klausytis ( 127.0.0.1; 172.16.0.1; ); išjungti tuščią zoną "255.255.255.255.IN-ADDR.ARPA"; išjungti tuščią zoną "0.0.0.0.0.0.0.0.0.0.0 .0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; išjungti tuščia zona "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. 0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; ekspeditoriai ( 192.168.1.1; ); // užklausos šaltinio adresas * 53 prievadas; );/etc/resolv.conf faile pirmiausia sukurkite vietinį DNS: vardų serveris 127.0.0.1 vardų serveris 192.168.1.1/etc/firewall.conf neleidžiame klientams naudoti išorinio DNS (redaguojame skyrius su dns-client komentaru) # dns-client # Išjungti išorinį DNS #$(cmd) pridėti leisti tcp iš bet kurio į $(NetIn) dst-port 53 sąranka #$(cmd) pridėti leisti udp iš bet į $(NetIn) dst-port 53 #$( cmd) pridėti leisti udp iš $(NetIn) 53 prie bet kurio #$(cmd) pridėti leisti udp iš $(NetIn) į bet kurį dst prievadą 53 išlaikyti būseną # Leisti tik vietinį DNS $(cmd) pridėti leisti tcp iš $( NetIn) prie $(IpIn) dst-port 53 sąranka $(cmd) pridėti leisti udp iš $(NetIn) į $(IpIn) dst-port 53 Pradėkime iš naujo: # /etc/rc.d/named restart # /etc/rc.d/ipfw restart Dabar grįžkime prie interneto prieigos kontrolės klausimo. Vienu metu yra du sprendimai. Pirmiausia sukonfigūruokite ACL politiką programoje squid. Antra, įdiekite ir sukonfigūruokite squidGuard - specialią prieigos kontrolės programą. Pradėkime eilės tvarka. == Squid acl konfigūravimas == acl yra squid konfigūracijos taisyklės, kurios gana efektyviai leidžia apriboti informacijos srautą, einantį per tarpinį serverį. Trumpai tariant, su acl galite greitai nužudyti bet kurį kairįjį sparną, kuris trukdo jūsų darbui. Visi acl nustatymai pagal numatytuosius nustatymus įrašomi į squid.conf failą, tačiau juos taip pat galima perkelti į išorinius failus. Pavyzdžiui, čia yra konfigūracijos dalis: # Draudžiame failų ištrynimus visiems Acl bendrinimams dstdomain .rapidshare.com .webfile.ru http_access deny shares # Draudžiame visiems prašyti svetainių per IP acl ip_urls url_regex http://+\.+\.+\.+[:/ ] http_access deny ip_urls # Grupės apribojimai src group_strict (ip 172.16.0.20-172.16.0.25) src group_allow (ip 172.16.0.26-172.16.0.30) acl (group_allow)_ group (spastricsne)_ Pasirodo puiku. Tačiau akivaizdu, kad geras tarpinis serveris turėtų turėti daug tokių taisyklių - po vieną taisyklę kiekvienai „skylei“. Išsiaiškinti „skyles“ ir jas registruoti atskirai yra nuobodu, tačiau, kaip visada, yra paruoštas sprendimas - squidGuard - filtro programa su didžiuliu taisyklių rinkiniu, kurį iš esmės galima papildyti net pagal cron grafiką. . Mes nagrinėjame problemą. == SquidGuard nustatymas == Dabar pabandykime įdiegti ir sukonfigūruoti squidGuard. Tai padaryti nėra sunku, tačiau reikia būti atsargiems. Taigi: # pkg_add -r squidGuard # cp /usr/local/etc/squid/squidGuard.conf.sample /usr/local/etc/squid/squidGuard.conf SquidGuard.conf faile saugomi visi nustatymai, kai kuriuos iš jų reikės nedelsiant pataisyti, būtent: # Failas squidGuard.conf ... šaltinio pavyzdžių klientai ( ip 172.16.0.0/16 ) ... Susiekime squidGuard su squid – pridėkite 3 eilutes prie squid.conf failo: redirector_bypass apie redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squid/squidGuard.conf redirect_children 10 squidGuard saugo savo konfigūracijos duomenų bazę /var/db/squidGuard. Prieš pirmąjį paleidimą arba atlikus pakeitimus, jis turi būti perstatytas: # rehash # squidGuard -C all # chown -R squid:squid /var/db/squidGuard # /usr/local/etc/rc.d/squid restart Viskas gerai, bet kai klientas bando eiti į draudžiamą svetainę, pavyzdžiui, http://3warez.com/, patiriame sulėtėjimą. Norėčiau gauti kokią nors suprantamą žinutę. Tam mums reikia apache. == Apache nustatymas == Kaip jau minėta, mums reikia apache, kad būtų rodoma informacija apie užblokuotus adresus ir blokavimo priežastis. Mes darome kaip įprasta: # pkg_add -r apache22 # echo "apache22_enable="YES"" >> /etc/rc.conf Apache nustatymai yra /usr/local/etc/apache22/httpd.conf faile. Prieš pradėdami, turite patikrinti DocumentRoot ir ServerName direktyvas – aš praleisiu detales, nes Internete yra daug straipsnių apie šio serverio nustatymą. Atlikta per 1 sekundę. Paleidžiame: # echo "Prieiga uždrausta" > /usr/local/www/apache22/data/index.html # /usr/local/etc/rc.d/apache22 startŠiek tiek pataisykime squidGuard.conf konfigūraciją: # Pačiame failo pabaigoje acl ( ..... numatytasis ( peradresuoti http://172.16.0.1/index.html ) )== dhcpd konfigūravimas == Ir dabar mes artėjame prie pabaigos. Tinklas sukonfigūruotas ir veikia puikiai. Viskas kontroliuojama, viskas griežtai apribota. Tačiau po lazdos laikas pasiūlyti klientams morką - automatinio DHCP adresų paskirstymo forma. Geras administratorius, žinoma, čia irgi apgaus – adresus jis platins tik per MAC, bet mes tik pažvelgsime į dalykus. # pkg_add -r isc-dhcp3-server # cp /usr/local/etc/dhcpd.conf.sample /usr/local/etc/dhcpd.confĮ /etc/rc.conf failą pridėkite šias eilutes: dhcpd_enable="TAIP" dhcpd_flags="-q" dhcpd_ifaces="em1" Taip pat turite pataisyti svarbiausią konfigūraciją /usr/local/etc/dhcpd.conf: parinktis domeno pavadinimas "example.com"; parinktis domeno vardo serveriai 172.16.0.1; parinktis potinklio kaukė 255.255.255.0; numatytasis nuomos laikas 3600; maksimalus nuomos laikas 86400; ddns-update-style jokio; potinklis 172.16.0.0 tinklo kaukė 255.255.0.0 (diapazonas 192.16.0.11 172.16.0.15; pasirinktiniai maršrutizatoriai 172.16.0.1; )Įjunkite elektrą: # /usr/local/etc/rc.d/isc-dhcpd start Tai turbūt viskas, svarbiausia. Šis straipsnis nėra visiškai išsamus ir informatyvus, tačiau trumpai aprašomi etapai, kuriuos reikia atlikti, kad serveris pradėtų veikti. Toliau – tik derinimas ir dar kartą derinimas. Taip pat nepamirškite, kad tai nėra vienintelis būdas konfigūruoti serverį – Unix visada yra alternatyva ir galite naudoti visiškai skirtingas programas.
Turite savo vietinį tinklą,
nusprendėte, kad laikas prijungti jį prie interneto per tam skirtą liniją. Na, kaip gerai, šiandien aš pasistengsiu dėl jūsų
Padėkite šiek tiek :) Pradėkime nuo FreeBSD diegimo, nes esame apsėsti
saugumas, reikia pasirūpinti iš anksto :) Viską išjungti, visur atsiliepti
tikrai ne :), ko reiks ijungsim veliau :) Sistemos diegimo metu jusu paklaus
„Ar norite pamatyti uostų kolekciją?“, atsakykite taip. Dabar įdiegsime papildomai
programinė įranga. Einame į saugumo skyrių ir ten pasirenkame programą pavadinimu PortSentry, jos prireiks vėliau :) Įdiegus reikia kompiliuoti
branduolys... Paimkime kaip pagrindą paruoštą GENERIC branduolį. Jis yra adresu /sys/i386/conf. Atidžiai parašykite naują sistemos branduolį, pašalinkite viską, kas nereikalinga (pavyzdžiui, pašalinkite USB, COM, LPT, SCSI, RAID ir kitų įrenginių palaikymą, kurių nenaudosite sistemoje, jums nereikia USB, prie maršrutizatoriaus įrenginių su USB palaikymu jo jungti neketinate, o su visa kita daryti taip pat, juolab kad tai padidins visos sistemos našumą... Detalesnę informaciją rasite LINT faile) . Tada prie naujo branduolio pridėkite šias eilutes:
Parinktys IPFIREWALL #Įgalinti ugniasienės palaikymą
Parinktys IPDIVERT #ši parinktis reikalinga, kad NAT veiktų
Parinktys IPFIREWLL_VERBOSE #Leiskite ugniasienei rašyti žurnalus
Parinktys IPFIREWALL_VERBOSE_LIMIT=10 #Apriboti įvykių žurnalo įrašus
Parinktys TCP_DROP_SYNFIN #Nepriimti paliktų paketų
Parinktys ICMP_BANDLIMIT #Tai yra galimybė išvengti DOS atakų :)
Parinktys ACCEPT_FILTER_DATA #Paprastai įjungiu šią parinktį :)
Parinktys TCP_RESTRICT_RST #Ši parinktis taip pat turėtų būti įjungta
config proxy, cd ../../compile/proxy, make depend, make, make install
Tai viskas, sveikinu, ką tik sukompiliavote savo branduolį, jei kažkas neveikia, kompiliacija
sustojo - pažiūrėkite, galbūt padarėte kažką ne taip, taip nutinka ir pabandykite dar kartą atkurti branduolį. Tada mes perkrauname sistemą. Ir mūsų mašina turėtų paleisti naują branduolį. Jei taip nėra
atsitiko, nenusiminkite – sistemą galima paleisti su senu branduoliu. Norėdami tai padaryti, kada
paleisti, kai sakoma, ar norite įeiti į atkūrimo režimą, paspauskite Enter
duokite komandą iškrauti, tada įkelkite kernel.old ir paleiskite. Tai viskas, sistema bus paleista naudojant seną branduolį.
Pagal numatytuosius nustatymus sistema laukia 9 sekundes prieš paleidžiant.
Einame į /boot aplanką ir ten redaguojame failą loader.conf, ten turime pridėti šią eilutę
boot_autodelay=0, tai daroma tam, kad sistema nelauktų 9 sekundžių vartotojo atsakymo, bet mums jo reikia, kad sistemai persikraunant greitai prisijungtų :) Toliau einame į
/etc aplanką ir pradėkite redaguoti rc.conf failą. Žemiau pateikiamas pavyzdys su komentarais, kad galėtumėte tai išsiaiškinti
nebus sunku:
hostname="zlobix.evil.com" #Jūsų įrenginio tinklo pavadinimas
firewall_enable="TAIP" #Įjunkite ugniasienę
firewall_script="/usr/local/etc/firewall.conf" #kelias į failą su ugniasienės politika
firewall_type="close" #Firewall type, šis tipas draudžia viską!
firewall_logging="TAIP" #Užduokite mūsų užkardai rašyti žurnalus
natd_program="/sbin/natd" #Eiti į natd demoną
natd_interface="ed0" # Kurioje sąsajoje veikia NAT, sąsaja turi būti nukreipta į IPT (Inetrnet Service Provader)
tcp_extension="NE" #Išjungti pavojingus TCP/IP plėtinius
tcp_keepalive="TAIP" #Nustatykite šią parinktį, maršrutizatorius atsibus mažiau
jautrūs DOS atakoms.
tcp_drop_synfin="TAIP" #Nepriimkite paliktų paketų
tcp_restrcit_rst="TAIP" #Nepamenu, ką tai reiškia, bet rekomenduoju jį įjungti :)
icmp_drop_redirect="TAIP" #Mes nedirbame su ICMP
paketus
icmp_log_redirect="TAIP" #Mes registruojame ICMP paketus
ifconfig_lo0="inet 127.0.0.1" #configuring loopback address,
palikite taip, kaip čia nurodyta
ifconfig_ed0="inet 167.65.89.147 nemask 255.255.255.192" #šiame pavyzdyje mes turime tai
sąsaja nukreipta į teikėją, kur ed0 yra sąsajos pavadinimas, inet
IP – teikėjo išduotas adresas, tinklo kaukės potinklio kaukė.
ifconfig_ed1="inet 192.168.0.1 netmask 255.255.255.0" #konfigūruoti vidinę sąsają, ty nukreiptą į vietinį tinklą
ifconfig_ed1_alias0="inet 192.168.1.1 netmask 255.255.255.0" # galite vienu metu prijungti kelias prie vienos tinklo sąsajos
IP adresai (IP slapyvardis), šiame pavyzdyje daroma prielaida, kad mūsų tinklas logiškai padalintas į du potinklius 192.168.0.0/24 ir 192.168.1.0/24, kur /24
- kaukės kodas naudojant CIDR metodą, kuris atitinka
potinklio kaukė 255.255.255.0
syslogd_enable="TAIP" #Įgalinti demoną, kad
bus atsakingas už rąstus
inetd_enable="NE" #Būtinai išjunkite šią paslaugą!
named_enable="NE" #išjunkite ir šį, maršruto parinktuvo kaip DNS serverio nenaudosite :)
nfs_client_enable="NE" # Žemiau esantys trys parametrai yra atsakingi už tinklo failų sistemos palaikymą, patariu ir ją išjungti.
nfs_server_enbale="NE"
nfs_reserved_port_only="NE"
fsck_y_enable="TAIP"
portmap_enbale="NE" #išjungti portmapper
sshd_enbale="TAIP" #Įgalinkite ssh, kad galėtume valdyti maršrutizatorių nuotoliniu būdu :)
sshd_programm="/usr/sbin/sshd/" #kelias į ssh demoną
sshd_flags="" #Sshd paleisties vėliavėlės, jei nežinote, palikite taip, kaip yra
defaultrouter="167.65.89.1" #Mūsų teikėjo kelvedis prieš srovę
getaway_enbale="TAIP" #Įgalinkite šliuzą mūsų kompiuteryje
icmp_bmcastecho="NE" #Mes nutraukiame atsakymus į ICMP protokolo aido pranešimus, tai sutaupys mūsų nervus :)
cron_enable="NE" #Nežinau, bet dauguma žmonių įjungia Cron, bet aš jį išjungiu, nes man jo tikrai nereikia maršrutizatoriuje...
clear_tmp_enable="TAIP" #Išvalyti tmp katalogą kiekvieną kartą, kai sistema paleidžiama
lpd_enable="NE" #Negalėsite spausdinti ir iš maršruto parinktuvo, todėl atjunkite ir jį
usbd_enable="NE" #Išjunkite demoną, kad palaikytumėte USB įrenginius
sendmail_enable="NO" #Atjungus sendmail, labiausiai nesandari vieta FreeBSD, jie nuolat randa klaidų :))))
kern_securelevel_enable="TAIP" #Įjungti apsaugą
kern_securelevel="0" #Nustatykite saugos tipą
Taigi, kai susidorosime su rc.conf, turime sukonfigūruoti maršrutizatorių, kad jis veiktų su DNS. Norėdami tai padaryti, atidarykite failą resolv.conf tame pačiame aplanke ir parašykite ten:
nameserver="167.65.88.18" #Mūsų teikėjo DNS serverio adresas
nameserver="167.65.88.17" #Mūsų teikėjo atsarginio DNS serverio adresas
Kaip jau supratote, po nameserver="" yra nurodyta kabutėse
DNS serverio IP adresas. DNS serverio į vietinį tinklą geriau nedėti, Dievas saugo geriausiai :) Atėjo į ssh.
Turime jį apsaugoti 🙂 ir padidinti apsaugą,
taigi eikite į /etc/ssh aplanką ir atidarykite sshd_config. Ir mes redaguojame šiuos dalykus:
#sshd_config
666 prievadas #Šis prievadas daro ssh mums linksmą :)
2 protokolas #Naudojame saugesnį duomenų perdavimo būdą
PermitRootLogin ne #Išjunkite root vartotojo prisijungimo galimybę, savo poreikiams sukursime specialų vartotoją :)
PrintLastLog taip #Rodo paskutinę prisijungimo datą
PermitEmptyPasswords ne #Uždrausti prisijungti naudotojams su tuščiu slaptažodžiu
Kai tai išsiaiškinome, eikime prie ugniasienės...
Šiame straipsnyje apžvelgsime tinklo sąsajas FreeBSD 11.1, mes parodysime tinklo konfigūraciją per /etc/ konfigūracijos failą rc.conf, būtent tikslas statinis nustatymus ir juos gauti DHCP. Užsirašykime adresus DNS- serveriai, sąranka šeimininkai ir atsižvelkite į instrukcijas laikinus tinklo nustatymus.
Peržiūrėkite tinklo sąsajas.
Pirmiausia paaiškinkime: Yra dvi tinklo plokštės būsenos AUKŠTYN.(dalyvauja) ir ŽEMYN(nedalyvauja).
Pirmas žingsnis yra pažvelgti į mūsų tinklo sąsajas, žvelgsime į tai kaip komanda ifconfig.(1 pav.) Komandos išvestis rodo visas sąsajas AUKŠTYN. Ir ŽEMYN.
Ifconfig
ifconfig -a parodys tau tą patį.
Ifconfig -a
Čia yra keletas skirtumų nuo ifconfig V Ubuntu serveris.(V Ubuntu serveris "ifconfig" rodo tik sąsajas AUKŠTYN.,"ifconfig -a" rodo visas sąsajas ir AUKŠTYN. Ir ŽEMYN)
1 pav. – komandos ifconfig įvedimo rezultatas.
Ir ką mes matome:
- em0- mūsų tinklo plokštė su IP adresu 192.168.3.11 .
- em1- antroji tinklo plokštė, nesukonfigūruota.
- štai- vietinė linija, visi ją turi pagal nutylėjimą.
Norėdami peržiūrėti tik sąsajas AUKŠTYN., naudojama komanda ifconfig -u(2 pav.):
Ifconfig -u
ir tik sąsajoms peržiūrėti ŽEMYN, naudojama komanda ifconfig -d(3 pav.):
Ifconfig -d 
2 pav. – komandos ifconfig -u įvedimo rezultatas. 
3 pav. – komandos ifconfig -d įvedimo rezultatas.
Ateityje parodysiu sąsajos nustatymų pavyzdžius "em0".
Norėdami įjungti sąsają, naudokite komandą ifconfig"SĄSAJOS PAVADINIMAS" aukštyn.
Ifconfig em0 up
Norėdami išjungti sąsają, naudokite komandą ifconfig "SĄSAJOS PAVADINIMAS" žemyn.
Ifconfig em0 žemyn
„Žaisk aplink“ su sąsaja, nebent, žinoma, esate prisijungę per ssh, ir palikite jį valstybėje AUKŠTYN..
Tinklo sąranka naudojant konfigūracijos failą.
Norėdami sukonfigūruoti statinį arba dinaminį IP adresą, turime redaguoti tinklo sąsajos konfigūracijos failą - /etc/ rc.conf mes jį redaguosime naudodami teksto rengyklę vi.(4 pav.) Iš karto pasakysiu, kad norėdamas redaguoti vi reikia paspausti raidę "aš", o norėdami išsaugoti ir uždaryti dokumentą, turite spustelėti "Esc"įveskite ":wq!" ir paspauskite "Įeiti".
4 pav. – vi /etc/rc.conf.Tinklo nustatymų gavimas per DHCP.
Norėdami priskirti nustatymus, kurie bus gauti per DHCP, faile /etc/ turite įvesti (arba pakeisti esamą) eilutę rc.conf.(5 pav.)
ifconfig_SĄSAJOS PAVADINIMAS="DHCP"
Ifconfig_em0="DHCP" 
5 pav. Tinklo nustatymų gavimas per DHCP.
Tinklo paslaugos paleidimas iš naujo netif.(6 pav.)
/etc/rc.d/netif restart Fig.6 – FreeBSD tinklo paslaugos paleidimas iš naujo.
Žiūrime į aktyvias tinklo sąsajas, matome per DHCP gautą sąsajos IP adresą em0- 192.168.3.6 (7 pav.)
Ifconfig -u
Ping 8.8.8.8 
7 pav. – Aktyvių sąsajų ir tinklo prieigos tikrinimas.
Pingai ateina. Viskas gerai!
Tinklo nustatymų nustatymas rankiniu būdu.
Norėdami priskirti statinį adresą mūsų Freebsd reikalingas /etc/ faile rc.confįveskite dvi eilutes (8 pav.)
ifconfig_SĄSAJOS PAVADINIMAS="inet IP ADRESAS-NEMOKAMASSD tinklo kaukė KAUKĖS TINKLAS "
defaultrouter=" GATEWAY IP ADRESAS "
Ifconfig_em0="inet 192.168.3.11 netmask 255.255.255.0" defaultrouter="192.168.3.1" 
8 pav. – Statiniai tinklo sąsajos nustatymai.
Iš naujo paleiskite tinklo paslaugą.
/etc/rc.d/netif paleiskite iš naujo
Tikrinamos aktyvios sąsajos
Ifconfig -u
Interneto ryšį tikriname pinguodami Google aštuoniukais.
Ping 8.8.8.8
DNS nustatymas.
DNS serverių IP adresai saugomi /etc/ faile resolv.conf(9 pav.)
Atidarymas resolv.conf redaktoriuje vi.
Vi /etc/resolv.conf
Įeikite IP adresu DNS serveris. (Galite nurodyti tiek adresų, kiek norite.)
Vardų serveris 192.168.3.1 vardų serveris 8.8.8.8 vardų serveris 8.8.4.4
Jei failo neturite resolv.conf tada sukurkite jį kataloge /tt
Palieskite /etc/resolv.conf 
9 pav. – resolv.conf failo turinys.
Failas /etc/hosts.
Failas /etc/ šeimininkai yra lentelės, susiejančios DNS pavadinimus su IP adresais. Jūsų serveris pirmiausia pasieks failą šeimininkai, o tada į DNS serverį.
Asmeniškai man buvo naudinga pridėti šeimininkaiįrašydami tai freebsd(LAN IP adresas – serverio pavadinimas). Dabar visuose konfigūracijos failuose galime nurodyti DNS pavadinimą, o ne IP adresą ir, jei reikia, pakeisti savo IP adresą per trumpiausią įmanomą laiką pataisydami šeimininkai ir sąsajos parametrai /etc/ rc.conf.
Tai tik pavyzdys, ką turėtumėte daryti nereikalinga.
Pradedu redaguoti (10 pav.):
Vi /etc/hosts
Aš įvedu:
192.168.3.11 freebsd.itdeer.loc 10 pav. – pagrindinio kompiuterio failo turinys.
Patikrinsiu pingindamas vardus iš šeimininkai.(11 pav.)
Ping localhost ping freebsd.itdeer.loc 
11 pav. Ping pavadinimai iš prieglobos.
Laikinas IP adreso priskyrimas.
Tiesą sakant, nežinau, kam gali būti naudingas laikinas tinklo nustatymų priskyrimas. Nebent, tarkime, turite kokį nors serverį, skirtą tik jūsų vietiniam tinklui ir staiga nusprendžiate greitai atnaujinti programinę įrangą per internetą šiame serveryje, kad nepatektumėte į šliuzą, neplatintumėte interneto reikiamu IP adresas ir kt. Galite išsiversti su keliomis komandomis.
Pavyzdžiui, mes tai žinome 192.168.3.109 Mes tikrai turime prieigą prie interneto, savo sąsajai priskiriame šį IP adresą, taip pat turime nurodyti tinklo kaukę (12 pav.):
Ifconfig em0 192.168.3.109 tinklo kaukė 255.255.255.0
arba komanda su trumpu tinklo kaukės įrašu.
Ifconfig em0 192.168.3.109/24 
12 pav. Nurodykite laikinus em0 tinklo sąsajos nustatymus.
Internetas gali nepasirodyti, nes nenurodytas numatytasis šliuzas. Užregistruojame ir sujungiame Google aštuoniukes. (13 pav.)
Maršruto pridėjimas numatytasis 192.168.3.1 ping 8.8.8.8 
13 pav. – Nurodykite numatytąjį šliuzą. Tikrinama ping.
Maršruto lentelėje galite pamatyti, ar teisingai įvedėme numatytąjį šliuzą. Jis rodomas naudojant komandą "netstat -rn", Numatytasis šliuzas bus nurodytas vėliava U.G..(14 pav.)
Netstat -rn 
14 pav. – Maršrutizavimo lentelės išvestis.
Jei kur nors padarėte rašybos klaidą arba nurodėte kitus vartus, galite tai padaryti pašalinti numatytąjį šliuzą.
Numatytasis maršrutas
Tai užbaigia laikiną sąranką; atminkite, kad iš naujo paleisite serverį arba atskirą paslaugą tinklų kūrimas, visi laikinieji nustatymai išnyks.
Pridėkite maršrutą prie tinklo 192.168.0.0/16 (kaukė 255.255.0.0) per pagrindinį šliuzą 192.168.3.1/24
Maršrutas pridėti 192.168.0.0/16 192.168.3.1
Galimybė pridėti maršrutą, nurodantį visą kaukę.
Maršruto pridėjimas – tinklas 192.168.0.0 – tinklo kaukė 255.255.0.0 192.168.3.1
Pervardykite em0 sąsają į wan0.
Kad būtų patogiau, kai kurie administratoriai pervardija sąsajas, kad iš karto matytų, kam sąsaja skirta. Tarkime, kad turime šliuzą su dviem tinklo sąsajomis em0(internetas) ir em1(vietinis tinklas) ir dirbti su tokiais pavadinimais yra nepatogu, nes turėdami daug sąsajų galite susipainioti. Daug patogiau dirbti su sąsajomis wan0 Ir lan1.
Parodysime sąsajos pervadinimo pavyzdį em0 V wan0/etc/ faile rc.conf.(15 pav.)
Ifconfig_em0="inet 192.168.3.11 netmask 255.255.255.0"
Pakeiskite dviem eilutėmis:
Ifconfig_ em0 _name=" wan0" ifconfig_ wan0="inet 192.168.3.11 netmask 255.255.255.0" 
15 pav. - Pervardykite sąsajas /etc/rc.conf faile.
Nepamirškite iš naujo paleisti tinklo paslaugos:
/etc/rc.d/netif paleiskite iš naujo
Aš patikrinsiu ir įvedu komandą ifconfig -u. Mes matome savo wan0 su dešine IP adresas.(16 pav.)
Ifconfig -u 
16 pav. – naujos sąsajos pavadinimo tikrinimas. ifconfig -u.
Maršrutizatorius yra įrenginys, suteikiantis prieigą prie interneto kompiuteriams, prijungtiems prie vietinio tinklo. Naudodami FreeBSD galite sukurti panašų maršrutizatorių ir tai daroma gana paprastai; apsvarstykite galimybę sukurti maršrutizatorių mažam vietiniam tinklui, kuriame yra 20...30 darbo vietų.
Pradiniai duomenys – kompiuteris su dviem tinklo plokštėmis su įdiegtomis FreeBSD (šiuo metu naudoja FreeBSD 8.4 STABLE), išorinį mūsų tiekėjo pateiktą IP adresą, tiekėjo šliuzo IP adresą ir DNS serverio IP adresą.
Norėdami paversti maršrutizatoriumi, į rc.conf konfigūracijos failą turite pridėti tik vieną eilutę:
# echo gateway_enable="TAIP" > /etc/rc.conf
Kuris leis perduoti IP paketus iš vienos tinklo sąsajos į kitą. Naudodami komandą ifconfig išsiaiškinsime informaciją apie tinklo sąsajas ir nustatysime, kurios iš jų bus „išorinės“ (suteiksime tiekėjo IP adresą), o kuri – „vidinę“ (priskirsime neužimtą IP). vidinio vietinio tinklo adresas). Pažiūrėkime, ką gauname:
Mes apibrėžiame „em0“ kaip išorinę sąsają (su priskirtu ip 192.168.5.39), „em1“ kaip vidinę redaguodami rc.conf failą (jį priskiriame, pavyzdžiui, ip 192.168.0.240), mūsų vartai. teikėjas turi būti registruotas tame pačiame faile
# echo defaultrouter=”xxx.xxx.xxx.xxx” > /etc/rc.conf
Kur xxx.xxx.xxx.xxx yra teikėjo šliuzo IP adresas.
Dėl to gavau šį rc.conf failą:
Tada turime užregistruoti tiekėjo DNS serverio IP adresą, kad galėtume pasiekti svetainę pagal jų vardus. Padarykime įrašą resolv.conf konfigūracijos faile
# echo vardų serveris xxx.xxx.xxx.xxx > /etc/resolv.conf
Kur xxx.xxx.xxx.xxx yra DNS serverio IP adresas.
Jei yra keli DNS serveriai, patartina juos visus išvardyti naujoje eilutėje.
Mūsų atveju tai yra serverio IP adresai 192.168.5.200 ir 192.168.5.201. Adresas 8.8.8.8 yra didžiosios „Google“ DNS serveris; kraštutiniais atvejais galite jį naudoti.
Perkrauname...
# išjungimas –r dabar
Štai viskas, pradinė maršrutizatoriaus konfigūracija yra paruošta (galite sukonfigūruoti vietinio tinklo kompiuterį). Toliau apsvarstysime ugniasienės nustatymą, tinklo adresų vertimo (NAT) įgalinimą ir įvairias maršruto parinkimo schemas.
Pažiūrėkime, kaip nustatyti darbo stotis naudojant „Windows“ OS internetui (kaip ir kur užregistruoti kompiuterio, maršrutizatoriaus ir DNS IP adresą). Kaip programa, jei kam jos prireiks.
Tęskime maršrutizatoriaus konfigūravimą (2 dalis).
Wi-Fi maršrutizatorius su DHCP ir DNS serveriais FreeBSD 8.2
Ką norime gauti:
- kad „Wi-Fi“ klientai būtų tame pačiame potinklyje kaip ir laidiniai.
- kad laidiniai ir belaidžiai klientai adresus gautų automatiškai per DHCP
- turėti talpyklos DNS
– Žinoma, norime, kad visi prisijungtų prie interneto
- turėti prieigą per KPP prie vidinio serverio
Apskritai, mes norime gauti kažką panašaus į maršrutizatorių Dlink DIR-300
Ką mes turime:
Celeron 700, 256 MB RAM, 80 GB IDE varžtas ir keista pagrindinė plokštė, kuri veikia tik išjungus ACPI
tinklo plokštės:
| LAN - rl0 (10\100 kažkoks realtek, rastas darbe už spintos) rl0@pci0: 1 :8 :0 :class=0x020000 card=0x813910ec chip=0x813910ec rev=0x10 hdr=0x00 pardavėjas = "Realtek Semiconductor" įrenginys = Realtek RTL8139 šeimos PCI FastEthernet NIC RTL- 8139 /8139C/8139D klasė = tinklo poklasis = Ethernet WAN - stge0 (10\100\1000 asus adapteris) stge0@pci0: 1 :5 :0 :class=0x020000card=0x81801043chip=0x102313f0 rev=0x41 hdr=0x00 pardavėjas = "Sundance Technology Inc" įrenginys = "IC Plus IP1000 šeimos Gigabit Ethernet adapteris" klasė = tinklo poklasis = Ethernet WLAN - Wi-Fi ral0@pci0: 1 :10 :0 :class=0x028000card=0x3a711186chip=0x03021814 rev=0x00 hdr=0x00 pardavėjas = "Ralink Technology, Corp." įrenginys = "belaidis a/b (RT2525 2 .4GHz siųstuvas-imtuvas + RT2560 MAC/BBP)" klasė = tinklas |
baltas IP adresas, kurį pateikė teikėjas:
IP 9.9.9.9
kaukė 255.255.255.0
vartai 9.9.9.1
DNS1 9.9.9.254
DNS1 9.9.9.253
nustatymai skiriasi nuo iš tikrųjų egzistuojančių, bet tai nekeičia esmės
LAN diapazonas: 192.168.0.0 su kauke 255.255.255.0
Įdiegta FreeBSD 8.2 OS:
| # uname - FreeBSD GATE 8 .2 - Išleisk FreeBSD 8 .2 - PALEIDI #0:Šeštadienis, balandžio 9 d., 20:13:28 OMSST 2011 m root@GATE:/usr/src/sys/i386/compile/GATE i386 |
/etc/rc.conf turinys:
| 9 .9 .9 .1 9 .9 .9 .9 tinklo kaukė 255 .255 .255 .0 " ifconfig_rl0="inet 192 .168 .0 .1 tinklo kaukė 255 .255 .255 .0 " |
/etc/resolv.conf (DNS serverio) turinys:
| vardų serveris 9 .9 .9 .254 vardų serveris 9 .9 .9 .253 |
Pradėkime ruoštis:
Pašaliname visas nereikalingas tvarkykles iš branduolio (arba nepašaliname, priklausomai nuo to, kas patogu), palikdami visas belaidžių įrenginių tvarkykles. Jei zinai kuri tvarkykle tinka tavo kortelei tai palik, o likusia gali isimti.Nezinojau kuri man tiks,todel palikau viska. Mes atkuriame branduolį naudodami parinktis:
| įrenginys if_bridge # Tilto veikimo modulisįrenginio wlan # palaikymas 802.11 („Wi-Fi“) # Aš nežinau, kas tai yra, jis įkeliamas automatiškaiįrenginys wlan_amrr # AMRR perdavimo greičio valdymo algoritmasįrenginys wlan_xauth # Prieigos taško režimo autorizacijos palaikymo modulisįrenginys wlan_wep # WEP saugos algoritmo palaikymo modulisįrenginys wlan_tkip # TKIP šifravimo palaikymo modulisįrenginys wlan_ccmp # CCMP šifravimo palaikymo modulis prietaisas pf # Aš naudoju paketų filtrą kaip ugniasienę # eilės algoritmo palaikymas (srauto prioritetų nustatymas) parinktys ALTQ parinktys ALTQ_CBQ # Class Bases Queuing (CBQ) parinktys ALTQ_RED # Atsitiktinis ankstyvas aptikimas (raudona) parinktys ALTQ_RIO # RAUDONA Įvesties/Išvesties parinktys ALTQ_HFSC # Hierarchinis paketų planuoklis (HFSC) parinktys ALTQ_PRIQ # prioritetinė eilė (PRIQ) # Kadangi turiu vieno branduolio procesorių, man nereikia daugelio branduolių palaikymo #options ALTQ_NOPCC # Reikalingas SMP kūrimui |
sukompiliuokite ir įdiekite branduolį:
| # cd /usr/src # padaryti buildernel KERNCONF=VARTAI && \ padaryti diegimo branduolį KERNCONF=VARTAI |
Paleiskite iš naujo ir pažiūrėkite, kas atsitiks:
| 8843
|
„Wi-Fi“ kortelė buvo identifikuota kaip ral0. Jau gerai. Galite iš naujo sukurti branduolį ir pašalinti nereikalingas belaidžio ryšio tvarkykles.
Redaguokite /etc/hostapd.conf į šią būseną:
Redaguoti /etc/rc.conf:
| keymap="ru.koi8-r" hostname="GATE" gateway_enable="YES" defaultrouter=" 9 .9 .9 .1 " sshd_enable="TAIP" ifconfig_stge0="inet 9 .9 .9 .9 tinklo kaukė 255 .255 .255 .0 " # sukonfigūruokite belaidę kortelę kaip prieigos tašką wlans_ral0="wlan0" create_args_wlan0="wlanmode hostap" ifconfig_wlan0="up mediaopt hostap" # pašalinkite IP adresą iš rl0 sąsajos #ifconfig_rl0="inet 192.168.0.1 tinklo kaukė 255.255.255.0" # sukurti tiltą tarp belaidžių ir laidinių vietinių tinklų # ir priskirkite jam vietinio tinklo šliuzo IP adresą cloned_interfaces="bridge0" ifconfig_bridge0="inet 192 .168 .0 .1 tinklo kaukė 255 .255 .255 .0 \ addm wlan0 addm rl0 up" ifconfig_rl0="aukštyn" # įjungti prieigos taško funkciją hostapd_enable="TAIP" |
Perkrauname. Pažiūrėkime, kas atsitiko:
| # ifconfig stge0: vėliavėlės = 8843
|
Viskas gerai, Wi-fi ir laidinės kortelės sujungtos tilteliu ir IP adresas kabo ant šio tilto
Pradėkime nustatyti PF. PF leidžia įjungti eismo prioritetų nustatymą. Trumpą aprašymą rasite čia:
http://www.freebsd.org/doc/ru/books/handbook/firewalls-pf.html
sukurkite failą /usr/local/etc/pf.conf ir perkelkite jį į šią būseną:
| # Čia aš apibrėžiu kintamuosius, su kuriais man patogiau rašyti scenarijų. WAN="stge0" LAN="tiltas0" LAN_POOL=" 192 .168 .0 .0 /24 "WANIP=" 9 .9 .9 .9 "SERVER=" 192 .168 .0 .3 "ADMINAS" 192 .168 .0 .2 "RDP_PORT=" 3389 "EXTRDP_PORT=" 33389 " # srautas į šiuos prievadus ir iš jų bus uždraustas išorinėje sąsajoje DROP_PORTS="(135: 139 ,445}" # Ką daryti, kai paketas pasiekia blokavimo taisyklę (blokuoti) # nustatyti blokavimo politiką – mesti paketą ir nieko nedaryti # set block-policy reject – atmeskite paketą ir išsiųskite klaidos pranešimą # jį atsiuntusiam šeimininkui. nustatyti bloko politikos kritimą # Netikrinkite eismo lo0 nustatykite praleidimą ant lo0 # Netikrinkite srauto Bridge0 sąsajoje (vidinių apribojimų neturime) nustatykite praleidimą $LAN # Paketų „normalizavimas“. Šio varianto aprašymo, mano nuomone, pakanka # yra neaiškūs, bet, tikimės, turėtų padėti apsisaugoti nuo kai kurių tipų tinklo atakų.šveitimas visame #Mano greitis yra ~5000 kbps, čia reikia įvesti savo greitį altq $WAN priq pralaidumo 5000Kb eilėje (priv, other ) # Turiu 2 eiles # Didesnio prioriteto srautui (RDP iš serverio) eilė priv qlimit 25 prioritetas 14 priq (raudona) # Visiems kitiems eilėje kitas qlimit 30 prioritetas 10 priq (numatytasis) # Eilių dydžiai buvo paimti, galima sakyti, nuo lubų: (Ne per daug # sutelkite dėmesį į juos, prašau. Pabandykite patys pasirinkti eilės dydį # įjungti NAT išorinėje LAN tinklo sąsajoje nat $WAN iš $LAN_POOL į bet kurį -> ($WAN ) # Persiųsti prievadą į serverį. Persiųsti kitą prievadą nei standartinis # apsaugoti nuo brutalios jėgos beždžionių, nuskaitančių standartinius prievadus rdr prie $WAN proto tcp iš bet kurio į $WANIP \ prievadą $EXTRDP_PORT -> $SERVER prievadą $RDP_PORT # Nutraukėme ping užklausas mūsų adresu greitai blokuoti $WAN proto icmp iš bet kurio į $WANIP icmp tipo 8 # Išorinėje sąsajoje neturėtų būti srauto iš NETBIOS greitai blokuoti $WAN proto (tcp udp) iš bet kurio į bet kurį prievadą $DROP_PORTS # WAN sąsajoje įgalinkite apsaugą nuo sukčiavimo # Cituoju http://openbsd.corebsd.or.id/faq/pf/ru/filter.html: # Adresai yra suklastoti, kai užpuolikas suklastoja originalą # IP adresai paketuose, jie perduodami arba kaip jų tikrų adresų apvalkalas, # arba apsimesti kitu tinklo mazgu. Kai vartotojas buvo apgautas # jie galės pradėti tinklo ataką neatskleisdami tikrojo šaltinio # atakų arba bando gauti prieigą prie tinklo paslaugų, kurios # apribotas tam tikrais IP adresais. antispoof greitai už $ WAN #Uždrausti visą aiškiai neteisėtą srautą blokuoti visus # ### Įeinantis srautas # Privilegijuotas eismas greitai perduoti $WAN proto tcp iš bet kurio į $WANIP prievadą $EXTRDP_PORT eilės priv # Įprastas srautas greitai pereina $WAN iš bet kurio į $WANIP išlaikyti būsenos eilę kita # Tiesą sakant, prioritetų nustatymas PF neveikia įeinančio srauto, bet aš turiu taisykles # vis dar rašė. # ### Išeinantis srautas # Privilegijuotas eismas greitai pereiti prie $WAN proto tcp iš $WANIP \ prievado $EXTRDP_PORT į bet kurią išlaikyti būsenos eilę priv # Įprastas srautas greitai praeina $WAN iš $WANIP į bet kurią išlaikymo būsenos eilę, kitą |
| pf_enable="TAIP" pf_rules="/usr/local/etc/pf.conf" |
ir iš naujo paleiskite pf:
| # /etc/rc.d/pf paleiskite iš naujo |
Taisyklių kūrimo teisingumą tikriname naudodami komandas:
pfctl -sn Esamos NAT taisyklės
pfctl -sr Esamos transliacijos taisyklės
pfctl -ss Užmegzti ryšiai
pfctl -siĮvairūs skaitikliai
pfctl -sa Visa tai, kas išdėstyta aukščiau, vienu metu
pfctl -sq -vvv Rodo eilių būseną
Prievadus atnaujiname naudodami portsnap:
| # portsnap fetch Ieškoma portsnap.FreeBSD.org veidrodžių... 5 rasti veidrodžiai. Momentinės nuotraukos žymos gavimas iš portsnap5.FreeBSD.org... atlikta. Gaunami momentinės nuotraukos metaduomenys... atlikta. Atnaujinta nuo birželio trečiadienio 15 14 :21 :31 MSD 2011 iki ketvirtadienio liepos mėn 21 11 :37 :27 MSD 2011 . Atnešimas 3 metaduomenų pataisos.. padaryta. Taikomos metaduomenų pataisos... atlikta. Atnešimas 3 metaduomenų failai... padaryta. Atnešimas 9656 pleistrai..... 10 .... <Часть вывода удалена> ...........9650 ...padaryta. Pleistrų klijavimas... padaryta. Atnešimas 1282 nauji prievadai arba failai... padaryta. # portsnap ekstraktas /usr/ports/.cvsignore /usr/ports/CHANGES .................<Часть вывода удалена>............. /usr/ports/x11/yelp/ /usr/ports/x11/zenity/ Naujų INDEX failų kūrimas... padaryta. |
Mes naudojame dnscache iš djbdns paketo kaip talpyklos DNS serverį, nes jis sunaudoja mažiau atminties ir yra laikomas saugesniu nei BIND DNS serveris, įtrauktas į FreeBSD.
Įdiekite djbdns:
| # cd /usr/ports/dns/djbdns && padarykite diegimą švarų |
Surenkame ir montuojame naudodami šias parinktis:
| DUMPCACHE nuolatinė talpykla, skirta dnscache IPV6 IPv6 palaikymas, Felix von Leitner IGNOREIP ignoreip2 pleistras, Russell Nelson JUMBO Jumbo pataisa, Claudiu Costin [X] MAN vadovo puslapiai Gerritt Pape PERSISTENT_MMAP nuolatinis mmap pataisas, autorius Lennert |
djbdns taip pat ištrauks daemontools prievadą. „daemontools“ skirta paleisti demonus ir stebėti jų darbą. Tai yra, jei koks nors jo valdomas demonas „nukris“, „daemontools“ jį paleis iš naujo.
Sukuriame dnsusers grupę, kuri apims vartotojus, pagal kuriuos bus paleistas pats dnscache ir dnslog (djbdns registratorius):
sukurti vartotoją dnslog:
| # pw useradd dnslog -s /sbin/nologin -d /dev/null -G dnsusers |
sukurti aplanką, kurio turinys veikia su daemontools:
paleisti daemontools:
kadangi dnscache konfigūracija yra /usr/local/etc/djbdns, o daemontools veikia su /var/service aplanku, mes sukuriame nuorodą:
| # ln -s /usr/local/etc/dnscache /var/service/dnscache |
Aplanke /usr/local/etc/dnscache/env yra failai su pažangesne dnscache konfigūracija, tačiau šiuo atveju esame patenkinti numatytosiomis reikšmėmis.
Kad serveris veiktų normaliai, jam reikia nustatyti aukštesnio lygio serverių adresus. Kiekvienai zonai yra failas tokiu pačiu pavadinimu kaip ir zonos pavadinimas, esantis /usr/local/etc/dnscache/root/servers. Kiekviename faile yra už šią zoną atsakingų serverių IP adresai. Kadangi visas užklausas nukreipiame į teikėjo DNS serverius, jų pavadinimus įrašome į failą, pavadintą „@“ (atsakingas už šakninę zoną).
Iš naujo paleiskite dnscache:
Įdiekite DHCP serverį (sukūriau jį naudodamas šias parinktis):
| # cd /usr/ports/net/isc-dhcp41-server && sutvarkykite diegimą Isc-dhcp41-serverio parinktys 4 .1 .e_1, 2 DHCP_IPV6 Įgalinti IPv6 palaikymą [X] DHCP_PARANOIA Įgalinti chroot DHCP_LDAP palaikymą Eksperimentinis LDAP užpakalinės programos palaikymas DHCP_LDAP_SSL Palaikymas LDAP ryšį per SSL/TLS |
Pateikiame DHCP serverio konfigūraciją (/usr/local/etc/dhcpd.conf) į tokią būseną:
| vietinis adresas 192 .168 .0 .1 ; numatytasis nuomos laikas 600 ; maksimalus nuomos laikas 7200 ; autoritetingas; ddns-update-style tarpinis; log-facility local7; potinklis 192 .168 .0 .0 tinklo kaukė 255 .255 .255 .0 ( diapazonas 192 .168 .0 .10 192 .168 .0 .250 ; parinkčių maršrutizatoriai 192 .168 .0 .1 ; # Jei įjungėte SAMBA, galite pabandyti duoti klientams # taip pat WINS serverio vertė. # parinktis netbios-name-servers 192.168.0.1; # jau turime savo DNS serverį, todėl atiduodame jo adresą parinktis domeno vardo serveriai 192 .168 .0 .1 ; } # „susieti“ tam tikrus MAC adresus su tam tikrais IP adresais pagrindinio kompiuterio administratorius (aparatinės įrangos eternetas 03 :03 :03 :03 :03 :03 ; fiksuotas adresas 192 .168 .0 .2 ; ) pagrindinis serveris (aparatinės įrangos eternetas 04 :04 :04 :04 :04 :04 ; fiksuotas adresas 192 .168 .0 .3 ; } |
Į /etc/rc.conf pridėkite šias eilutes:
ir paleiskite DHCP serverį:
Viskas gerai. Pasiektas paprasčiausio dir-300 funkcionalumas.
