Asigurați-o astfel încât internetul a fost toate computerele de acasă.
Pentru definiteness vom numi un calculator cu server de două plăci de rețea. Ce este, de fapt, și va fi, iar celălalt calculator este clientul.
Pentru a rezolva o mare problemă, trebuie să-l rupe în jos în multe mici și de a rezolva treptat. În cazul nostru, aceste sarcini sunt după cum urmează:
- Configurarea unei conexiuni la Internet prin intermediul unui server PPPoE
- Configurarea legătura între computerele de acasă (server și client), acesta va fi o rețea LAN acasă
- Configurarea gateway-ului, adică pachetele de difuzare între rețeaua de domiciliu și Internet
Avem acum pe server următoarele interfețe de rețea: buclă locală lo. prima eth0 placă de rețea și a doua carte de rețea este eth1. Din nou, pentru definiteness, presupunem că eth0 - este o placă de rețea la Internet (acesta este conectat la furnizorul de cablu) și eth1 - rețea de cablu acasă NIC, adică, cu cablul de la al doilea calculator de la client.
Aproape toate setările sunt făcute pe server.
Configurarea conexiunii la Internet prin PPPoE
Rulați consola ca root:
Setup va începe o procedură în care trebuie să răspundă la câteva întrebări. Procedurile sunt clare și nu foarte complicat. Mai important, după setarea vom avea o nouă interfață de rețea: ppp0.
interfață de rețea ppp0 funcționează pe eth0. Acesta poate fi pornit și oprit cu următoarele comenzi:
# Activați interfața cu setările specificate anterior: PON-furnizor # DSL interfață Off: POFF
Când ppp0 toate furnizor de setările de rețea necesare noi, sau mai degrabă serverul lui PPPoE trimite. Pentru a, în absența Internetului se bucura în condiții de siguranță furnizorul de rețea locală, este necesar să se facă câteva gesturi.
eth0 interfață personalizabilă.
În cazul meu, este necesar nimic mai mult pentru a lucra cu lokalke furnizor.
Configurarea conexiunii între calculatoare la domiciliu
Ne conecta clientul intern si cablu de server, de preferință plisat schema crossover. Este posibil și patch-uri de obicei, moderne plăcile de rețea sunt capabili să lucreze și așa.
Setarea pachetele de difuzare între rețeaua de domiciliu și Internet
Pentru această sarcină, vom folosi caracteristicile iptables firewall-ului.
Controale pentru iptables din sistem (comanda returnează o listă de pachete care conțin numele iptables):
dpkg -l | iptables grep
Și dacă nu este - instalați (ca root).
apt-get install iptables
Configurarea iptables necesită o destul de specifice abilități și cunoștințe, astfel încât am fost foarte norocoși că debianopodobnyh sisteme (și Ubuntu - doar unul dintre ele) au pachet-iptables-Arno firewall. Am stabilit ca superuser.
apt-get install-iptables-Arno firewall
Cu toate acestea, în procesul de instalare a programului va necesita introducerea de date pentru configurarea. Dar setarea - preliminar și răspunsurile la întrebările care nu vor fi de ajuns. Pentru a configura iptables în totalitate, va trebui să rulați reconfigurarea:
Reconfigurarea solicită ferestre se vor suprapune cu cele care au avut loc în timpul instalării. În orice caz, ghidat de capturile de ecran de mai jos.
Configurația de bază a firewall-ului, care este potrivit pentru majoritatea aplicațiilor pot fi create pentru a răspunde la câteva întrebări. Această opțiune este de preferat pentru cei care nu au încredere în setările de firewall.
În cazul în care răspunsul este negativ, firewall-ul nu va funcționa atâta timp cât nu modificați manual setările în configurația.
Doriți să configurați firewall-ul prin intermediul pachetului configuratorul?
Da, desigur, ne-o dorim.
interfețe de rețea externe conectate la aparatul local pentru rețele nesigure (de exemplu, Internet). Firewall-ul va permite doar acei compuși care sunt date în mod explicit combinații de porturi sursă / destinație pe aceste interfețe. Trebuie să specificați toate interfețele externe (de exemplu, eth0 și / sau ppp0).
Pentru interfață care nu ppp există încă, puteți utiliza masca dispozitivului sub numele de «+ ppp», dar utilizarea ppp + este posibilă doar atunci când nu există alte interfețe ppp!
În cazul în care nu există nici un set de interfețe, nici o configurare firewall-ul nu va fi schimbat.
interfețe multiple pot fi specificate cu ajutorul unui separator - spațiu.
Avertizare că în fereastra următoare va trebui să specifice toate interfețele externe prin spațiul liber.
Interfață de rețea externă:
În cazul nostru, este ppp0 și eth0. interfață ppp0 există și este utilizat atunci când internetul, eth0 pentru lokalki furnizor.
Dacă DHCP nu este specificat în mod explicit, firewall-ul va bloca tot traficul de rețea asociat cu cererile DHCP.
Dacă nu sunteți sigur - lăsați această setare activată.
Interfețele externe folosind DHCP?
Politica prestabilită Firewall - pentru a bloca toate conexiunile de intrare la interfețele externe. În cazul în care această mașină furnizează servicii către lumea exterioară (de exemplu, Internetul este un server de web), acestea ar trebui să fie specificate în mod explicit.
Vă rugăm să indicați numărul de porturi TCP servicii care ar trebui să fie accesibile din lumea exterioară. Numerele de porturi utilizate în mod obișnuit: 80 (http), 443 (https) sau 22 (ssh).
Puteți specifica nu numai un singur port, dar, de asemenea, o serie (de exemplu, 10000: 11000). Intrările multiple trebuie să fie separate printr-un spațiu.
Atunci când există îndoieli - nu introduceți nimic.
Deschideți porturile externe TCP:
Ce TCP porturile deschise la Internet? În cele mai multe cazuri, mai ales în acest - nu, lăsați necompletat.
Politica prestabilită Firewall - pentru a bloca toate conexiunile de intrare la interfețele externe. În cazul în care această mașină furnizează servicii către lumea exterioară (de exemplu, Internetul este un server de web), acestea ar trebui să fie specificate în mod explicit.
Vă rugăm să specificați numere de port UDP de servicii care ar trebui să fie accesibile din lumea exterioară.
Puteți specifica nu numai un singur port, dar, de asemenea, o serie (de exemplu, 10000: 11000). Intrările multiple trebuie să fie separate printr-un spațiu.
Atunci când există îndoieli - nu introduceți nimic.
Deschideți porturile UDP externe:
Pe scurt, la fel pentru porturile UDP.
Pentru a crește securitatea firewall-ul poate fi configurat să ignore cererile de difuzare (ICMP) ping. Uneori poate fi util (la prima vedere pare de pe gazdă), uneori invers (dificil de diagnosticat, pentru același motiv).
Dacă aveți dubii - lăsați setarea off.
Computerul trebuie să fie apelată din lumea exterioară?
Alegeți dacă vă puteți ping server de pe Internet.
Interfețele interne de rețea conectează computerul cu rețelele de încredere (de exemplu, acasă sau la birou). Firewall-ul va permite toate încercările de conexiuni de intrare la aceste interfețe. Dacă specificați aceste interfețe, va fi posibil să se asigure accesul la rețelele interne la Internet prin această mașină. În cazul în care nici o astfel de interfețe, lăsați câmpul gol.
interfețe multiple pot fi specificate cu ajutorul unui separator - spațiu.
Selectați interfața de rețea internă, este eth1. așa cum am convenit mai devreme.
Trebuie să specificați o subrețea, care sunt conectate la interfața de rețea internă. noduri de rețea interne pot fi conectate la toate serviciile de pe acel computer.
Set reguli subrețeaua CIDR (de exemplu, 192.168.1.0/24). Dacă aveți mai multe rețele interne, fiecare set separate printr-un spațiu.
Solicitarea subrețea lokalki casa noastră.
În cazul în care rețelele interne conectate ar trebui să aibă acces la lumea exterioară (de exemplu Internet) printr-un paravan de protecție trebuie să fie activat travestiți (NAT).
Dacă în orice dubiu, lăsați această setare dezactivată pentru siguranță.
Doriți să activați NAT?
Cel mai important lucru. Reducerea pachete de difuzare pentru care totul și a fost început. Include obligatorie.
Dacă lăsați valoarea goală, acesta este setat automat la rețeaua internă. În acest caz, întreaga rețea internă va avea acces la rețelele externe, astfel încât să fie atenți și să ceară doar acele rețele care au acces la lumea exterioară.
Atunci când există îndoieli - nu introduceți nimic.
rețea internă cu acces la rețelele externe:
Din motive de securitate noua configurare firewall nu este aplicată în mod automat. S-ar putea dori să verificați configurația firewall-ului în /etc/arno-iptables-firewall/firewall.conf. mai ales după actualizare, deoarece variabilele în același timp se pot schimba.
În cazul în care este necesar să se aplice manual noile setări de firewall până la următoarea repornire, tip: „invocați-rc.d Start-iptables-Arno firewall“.
Dacă nu aveți nevoie de control manual, configurația firewall-ul poate fi aplicat astăzi.
În cazul în care firewall-ul să fie (re) a început chiar acum?
Da, desigur. De ce nu.
ceea ce acum
Acum avem aproape o poartă de acces completă Ubuntu și acces la Internet de la o rețea de domiciliu.
Metoda poate fi folosită în organizații, dar este mai bine să facă poarta de acces la debian și tabelele iptables prescrie mâini.
Întrebare - cum să configurați, de exemplu, dezactivați includerea de utilizatori, de exemplu, ar trebui un server de 1C și nu ar trebui să meargă la internet si Ineta nu ar trebui nimic pentru a merge
În al doilea rând,-iptables-Arno firewall pentru reglaj fin nu este necesar, este necesar să se utilizeze „» iptables gol.
Vă puteți înregistra la poarta de acces (pe care o avem cu Linux la bord și NAT-lea) două reguli:
iptables -I FORWARD 1 -s 192.168.0.8 -j DROP
DROP iptables -I FORWARD 2 -d 192.168.0.8 -j
Pentru a colecta statistici Eu folosesc personal ulogd cu botul samopisnaya web.
Pune MySQL server, ulogd și-ulogd mysql. ulogd configurat pentru a stoca date în MySQL. În iptables prevede reguli de logare (-j ULOG în locurile potrivite).
După aceea, informațiile cu privire la toate pachetele de interes începe să scadă în baza.
În general, înainte de orice acțiune de către Consiliu citiți cu atenție manualul de iptables.
Acum mă uit la toate jurnalele pentru PRTG pe Windows
Gateway pe Windows - este futut.
Este posibil să se stabilească într-un fel o interdicție asupra unor resurse? Sau, mai degrabă am nevoie pentru a dezactiva toate resursele de pe internet și permite bucăți 15. Pot folosi-iptables este Arno înființat?
De aceea, prefer să limiteze resursele de Internet sau prin intermediul DNS (dnsmasq), sau prin proxy (calmar + Sams).
Am acest fascinant proces este finalizat în etapa de lansare pppoeconf, care nu găsește nimic, deși aceeași dantelă mare de lucrări în Windows și-dir 320 :(
Am o linie dedicată de la furnizor merge la computer, există un modem. La început, atunci când echipa din pppoeconf terminal care nu vine de la furnizor.
pppoeconf numai în cazul în care accesul la internet prin intermediul serverului PPPoE.
Avem un furnizor de server PPPoE?
Când mă duc la Internet, am ridica VPN.
Sau furnizorul folosește un VPN?
Te rog spune-mi metoda cum să-l ocolească? Multumesc anticipat.
Deși este neclar modul în care, în general, oferă acces la Internet.
Ajută-setările furnizorului. Fără un nume de utilizator și parolă și IP-uri specifice, desigur.
Este posibil de a trage IP, DNS, si orice altceva pe furnizorul de Linux
Buna ziua!
Și tu un fel [ziua / seara / noapte, subliniere].
salut Dezgustator :)
vayfay făcut pentru oaspeți. sarcina de a configura gateway-ul, astfel încât Internetul era (și în LAN și pe plachetă), dar accesul utilizatorilor LAN vayf a avut. să înțeleagă întrebarea, probabil, prost, dar eu nu pot pokachto rețele razobratsya (perforce forțat să îndeplinească temporar atribuțiile administratorului.
Ideea este că aveți între subrețele și nu ar trebui să fie accesarea. Pentru a avea acces era necesar să se furnizeze în mod special - creșterea punte de rețea între iptables eth1 și eth2 sau mijloace (subrețea link-ul de subrețea este în esență aceeași ca și subrețea, Internet).
Ai nevoie pentru a găsi această opțiune și scoateți-l.
Pentru mai multe informații, uita-te pe Internet în conformitate cu „Podul de rețea pod“, „brctl“, și „zonă demilitarizată“ (Este vorba despre un principiu de construcție de care aveți nevoie).
salutului pare rau! Am seara si ploaie :)
Acum am același rahat. )
accesul între rețelele de zi cu vizibilitate asigurată de-iptables-arno firewall.
Despre poduri de rețea în articolul meu în proiectele, deci are sens să se uite la alte site-uri.
Ei bine, eu spun și deci nu poate fi implicit. Asta este, administratorul undeva oferă acces în cunoștință de cauză între rețele - fie prin iptables, sau printr-o punte de rețea. Acum, acest lucru i sînt setarea este necesar pentru a găsi și elimina.
Scapă de Arno, face serviciul dvs. și puteți vedea cu ușurință și reguli de control, care este, tot traficul de pachete de pe rețea.
admin bastard a demisionat la scandal și pe noile autorități nu au bani
De obicei, acest lucru se întâmplă atunci când stai în conducerea idioti. Strica relațiile cu administratorul, nu angaja un nou - și apoi e de mirare că infrastructura se apropie treptat la o stare de măgari. Pe cine trebuie să fie nu pentru a vedea o relație cauzală între aceste evenimente. )
Acest lucru trebuie să câștige economist admin :)
Complimentele mele. O combinație foarte rară și scumpă de competențe.
Dacă ați însușit amenda - puteți schimba în condiții de siguranță de conducere la o mai adecvată, cu o mărire de salariu.