Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze | |||
firewall_router_gateway [2012/07/20 16:54] – ubuntu | firewall_router_gateway [2019/02/25 18:21] (aktuální) – upraveno mimo DokuWiki 127.0.0.1 | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
+ | ====== Firewall, router, gateway ====== | ||
+ | {{.: | ||
+ | |||
+ | ====== Konfigurace IP adres ====== | ||
+ | Na výběr máte 3 metody: | ||
+ | ===== Ubuntu metoda ===== | ||
+ | V Ubuntu veškeré nastavení sítě lze provádět pomocí dvou souborů a to / | ||
+ | < | ||
+ | sudo / | ||
+ | </ | ||
+ | Nastavení / | ||
+ | * Statická adresa - stejné nastavení jako nahoře | ||
+ | < | ||
+ | # The loopback network interface | ||
+ | auto lo | ||
+ | iface lo inet loopback | ||
+ | |||
+ | # The primary network interface | ||
+ | auto eth0 | ||
+ | iface eth0 inet static | ||
+ | address 10.0.0.2 | ||
+ | gateway 10.0.0.1 | ||
+ | netmask 255.255.255.0 | ||
+ | network 10.0.0.0 | ||
+ | broadcast 10.0.0.255 | ||
+ | </ | ||
+ | |||
+ | * Dynamická adresa - to je adresa přidělená vaším serverem nebo poskytovatelem | ||
+ | < | ||
+ | # The loopback network interface | ||
+ | auto lo | ||
+ | iface lo inet loopback | ||
+ | |||
+ | # The primary network interface - use DHCP to find our address | ||
+ | auto eth0 | ||
+ | iface eth0 inet dhcp | ||
+ | </ | ||
+ | |||
+ | ===== Klasická metoda ===== | ||
+ | Centrem celého řešení je počítač se dvěma síťovými kartami (eth0, eth1) a s nainstalovaným Ubuntu. | ||
+ | |||
+ | Tento počítač je síťovou kartou eth0 trvale připojen k internetu. Naprosto nehraje roli, jestli má toto rozhraní veřejnou nebo privátní adresu (za NAT), jestli je IP nastavena staticky nebo přes DHCP. Konfiguraci IP pro toto rozhraní stanovuje poskytovatel připojení k internetu. Rekněme, že se jedná o tyto hodnoty: | ||
+ | IP adresa: AAA.BBB.CCC.DDD\ | ||
+ | Maska: EEE.FFF.GGG.HHH nebo /ZZ\ | ||
+ | Výchozí brána: III.JJJ.KKK.LLL\ | ||
+ | DNS server: MMM.NNN.OOO.PPP | ||
+ | |||
+ | {{.: | ||
+ | |||
+ | < | ||
+ | ipcalc 255.255.255.0 | grep Netmask | ||
+ | </ | ||
+ | kde pro hodnotu netmask 255.255.255.0 dostanete prefix 24 se kterou budeme dále pracovat: | ||
+ | < | ||
+ | Netmask: | ||
+ | </ | ||
+ | Druhá síťová karta tohoto počítače (eth1) může být připojena přímo kříženým kabelem k dalšímu počítači, | ||
+ | |||
+ | Na rozhraní eth1 provedeme nastavení pro privátní síť, například takto: | ||
+ | IP adresa: 10.0.0.1\ | ||
+ | Maska: 255.255.255.0 po převodu /24 | ||
+ | |||
+ | Totoho nastavení dosáhneme zadáním příkazu | ||
+ | < | ||
+ | sudo ip address add 10.0.0.1/24 dev eth1 | ||
+ | </ | ||
+ | Na ostatních počítačích, | ||
+ | IP adresa: 10.0.0.2 (na poslední pozici cokoliv 2-254)\ | ||
+ | Maska: 255.255.255.0 po převodu /24 (stejná jako maska na rozhraní eth1 serveru)\ | ||
+ | Výchozí brána: 10.0.0.1 (ip adresa rozhraní eth1 serveru)\ | ||
+ | DNS server: MMM.NNN.OOO.PPP (stejný jako DNS server používaný serverem) | ||
+ | |||
+ | {{http:// | ||
+ | |||
+ | Na strojích s Windows XP tyto hodnoty zadáte v Local Area Connection -> Properties -> Internet Protocol (TCP/IP) -> Properties.\ | ||
+ | Na strojich s Linuxem DNS server nastavte v souboru / | ||
+ | |||
+ | < | ||
+ | nameserver 10.0.0.1 | ||
+ | </ | ||
+ | IP adresu a masku nastavíte příkazem | ||
+ | |||
+ | < | ||
+ | sudo ip address add 10.0.0.2/24 dev eth1 | ||
+ | </ | ||
+ | a výchozí bránu příkazem | ||
+ | |||
+ | < | ||
+ | sudo route add default gw 10.0.0.1 | ||
+ | </ | ||
+ | Pokud nyní zkusíte ping na adresu serveru, pakety by měly správně přicházet. | ||
+ | Vše lze výrazně zjednodušit nainstalováním a nastavením DHCP serveru na počítač s přímým připojením k internetu. | ||
+ | |||
+ | |||
+ | |||
+ | ===== Alternativní metoda ===== | ||
+ | Tato metoda je ideální, pokud moc nechcete dumat nad tím, proč je něco tak, jak je, ale chcete mít rychle internet na dvou PC... | ||
+ | |||
+ | Na následujícím příkladu je počítač, který má dvě síťové karty: | ||
+ | * eth0 je síťová karta **připojená k internetu** | ||
+ | * eth1 je síťová karta **připojená k domácí síti** | ||
+ | * 192.168.0.1 je IP adresa počítače, | ||
+ | * 255.255.255.0 po převodu /24 je maska podsítě ve vnitřní síti | ||
+ | |||
+ | |||
+ | Otevřeme terminál a zadáme následující příkazy: | ||
+ | < | ||
+ | sudo -s | ||
+ | ip address add 192.168.0.1/ | ||
+ | iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | ||
+ | echo 1 > / | ||
+ | apt-get install dnsmasq ipmasq | ||
+ | / | ||
+ | dpkg-reconfigure ipmasq | ||
+ | nano / | ||
+ | / | ||
+ | exit | ||
+ | </ | ||
+ | Na druhém počítači pak nastavíme: | ||
+ | * IP: 192.168.0.2 | ||
+ | * Maska podsítě: 255.255.255.0 po převodu /24 | ||
+ | * Brána: 192.168.0.1 | ||
+ | * DNS: Podle providera různé. Doporučuji DNS zjistit na připojeném počítači a to samé zadat do druhého | ||
+ | |||
+ | ====== Firewall a routování ====== | ||
+ | |||
+ | {{.: | ||
+ | |||
+ | {{.: | ||
+ | |||
+ | Konfigurace firewallu je uložena v souboru / | ||
+ | V posledních řádcích je definované směrování z internetu do privátní sítě. | ||
+ | |||
+ | < | ||
+ | # | ||
+ | # $Id: client-all.conf, | ||
+ | # | ||
+ | # This configuration file will allow all requests originating from the | ||
+ | # local machine to be send through all network interfaces. | ||
+ | # | ||
+ | # No requests are allowed to come from the network. The host will be | ||
+ | # completely stealthed! It will not respond to anything, and it will | ||
+ | # not be pingable, although it will be able to originate anything | ||
+ | # (even pings to other hosts). | ||
+ | # | ||
+ | |||
+ | version 5 | ||
+ | |||
+ | # Accept all client traffic on any interface | ||
+ | # interface any world | ||
+ | # client all accept | ||
+ | |||
+ | DEFAULT_CLIENT_PORTS=" | ||
+ | |||
+ | server_icq_ports=" | ||
+ | client_icq_ports=" | ||
+ | |||
+ | interface eth1 internal | ||
+ | protection strong 10/sec 10 | ||
+ | policy | ||
+ | server dns accept | ||
+ | server netbios_ns | ||
+ | server netbios_dgm | ||
+ | server netbios_ssn | ||
+ | server samba accept | ||
+ | server squid accept | ||
+ | server icmp | ||
+ | server ping | ||
+ | client all accept | ||
+ | |||
+ | interface eth0 external | ||
+ | protection strong 10/sec 10 | ||
+ | policy drop | ||
+ | server icmp | ||
+ | server ping | ||
+ | server ssh accept | ||
+ | client dns accept | ||
+ | client icmp | ||
+ | client ping | ||
+ | client telnet | ||
+ | client http | ||
+ | client https accept | ||
+ | client ftp accept | ||
+ | client ntp accept | ||
+ | client ssh accept | ||
+ | client icq accept | ||
+ | client jabber | ||
+ | client webcache accept | ||
+ | |||
+ | router internal2external inface eth1 outface eth0 | ||
+ | masquerade | ||
+ | route all accept | ||
+ | </ | ||
+ | Firewall aktivujete úpravou souboru / | ||
+ | a zadáním | ||
+ | |||
+ | < | ||
+ | sudo firehol restart | ||
+ | </ | ||
+ | Nyní můžete na všech počítačích přistupovat na internet, v rámci privátní sítě můžete sdílet soubory, adresáře a tiskárny. Firehol se automaticky spouští s každým startem počítače. | ||
+ | V případě zájmu o FireHOL rád blíže vysvětlím jeho funkci a jednotlivé položky v konfiguračním souboru. | ||
+ | |||
+ | ====== Zdroje dalších informací ====== | ||
+ | * http:// | ||
+ | * http:// | ||
+ | * http:// | ||
+ | * http:// | ||
+ | |||
+ | {{page> | ||
+ | |||
+ | {{page> |