Linux като портал между локалната мрежа и Интернет
3. Изказване на проблема.
Необходимо е да се машинни части от първата мрежа, за да се даде достъп до Интернет и към втората мрежа. втори достъп до мрежата с интернет и първата мрежа не разполага. И двете мрежи трябва да имат достъп до реалната мрежа (има ueb-, ftp- и сървъра корпоративна поща). От интернет трябва да бъде истинска мрежа за ueb- и SMTP сървъри.
6. Routing.
Routing - тя е това, което правят с пакета към рутера, когато пътуват този пакет по мрежата. С други думи - това е процесът на избор на път за предаване на пакета от до местоназначението и да го изпратите по този начин. Това е отделна голяма тема, особено ако вземем предвид маршрута в рамките на автономни системи, но ние в момента не ми пука. Достатъчно е да се знае, че има някакъв рутер, който знае всичко извън нашата мрежа. Обикновено този доставчик на рутер и имена разговори той обикновено шлюз по подразбиране. На нашия портал е необходимо да се уточни, че в противен случай тя ще бъде една от причините, че ние не трябва да получават по интернет.
специално уеб сървър организация - 193.193.1.2
сървър за електронна поща на организацията - 193.193.1.3
FTP-сървър във вашата организация - 193.193.1.4
Когато екипът на грижи
Ние се провери компетентността на нашия основен портал за трафик маршрут между мрежи. Ако резултатът от командата е "1", а след това всичко е наред. Ако "0", е необходимо да се skomandnovat такова нещо:
# Echo 1> / Proc / сис / нето / IPv4 / ip_forward
и проверете отново с помощта на предишната команда. Ако всичко е "0", тогава текущата си ядро не поддържа изпращането на пакети между интерфейси (което е необходимо за маршрутизация), и тя трябва да се възстанови. Може би вашата дистрибуция вече има компилирано ядро с поддръжка за маршрутизация (това може да се намери в документацията за разпределение) - тогава има смисъл да инсталирате и стартирате от него.
Сега с екипа
Ако на изхода да се срещне с фрази като "Perhabs IPTABLES или ядрото трябва да бъде модернизирана", това означава, че ядрото ви се компилира без подкрепа за NAT и пакетен филтър. Съветът е същата, както в предишния случай - или от ядрото е в разпределението, или са на разположение трябва да се възстанови.
Тогава създадете файл, който ще съдържа NAT конфигурационни команди и филтри. Наречете го както искате, нека се iptables.conf. Поставете в следните направления:
# Когато ясно на всички правила във верига, използвани в таблиците
IPTABLES -F INPUT
IPTABLES -F FORWARD
IPTABLES -F OUTPUT
IPTABLES -t NAT -F POSTROUTING
# Задаване на правилата (политики) по подразбиране
IPTABLES -P INPUT ACCEPT
IPTABLES -P FORWARD ACCEPT
IPTABLES -P OUTPUT ACCEPT
# Разрешаване на всички достъп до конкретен уеб сървър
IPTABLES -A FORWARD -d 193.193.1.2 -p TCP -j ACCEPT --dport 80
# Не давай всичко останало на определена уеб сървър, различен от ICMP (пинг, проследяващи, и така нататък)
IPTABLES -A FORWARD -d 193.193.1.2 -p. ICMP -j DROP
# Разрешаване на всеки потребител достъп до пощенската служба за SMTP
IPTABLES -A FORWARD -d 193.193.1.3 -p TCP -j ACCEPT --dport 25
# Позволи lokalke извличане на пощата чрез POP3
IPTABLES -A FORWARD -s 192.168.1.0/24 -d 193.193.1.3 -p TCP -j ACCEPT --dport 110
IPTABLES -A FORWARD -s 192.168.2.0/24 -d 193.193.1.3 -p TCP -j ACCEPT --dport 110
# Не позволявайте нищо друго на друга длъжност, освен ICMP (пинг, проследяващи, и така нататък)
IPTABLES -A FORWARD -d 193.193.1.3 -p. ICMP -j DROP
# Lokalke позволи достъп до FTP сървъра на организацията
IPTABLES -A FORWARD -s 192.168.1.0/24 -d 193.193.1.4 -p TCP -j ACCEPT --dport 20
IPTABLES -A FORWARD -s 192.168.1.0/24 -d 193.193.1.4 -p TCP -j ACCEPT --dport 21
IPTABLES -A FORWARD -s 192.168.2.0/24 -d 193.193.1.4 -p TCP -j ACCEPT --dport 20
IPTABLES -A FORWARD -s 192.168.2.0/24 -d 193.193.1.4 -p TCP -j ACCEPT --dport 21
# Не позволявайте нищо друго да FTP освен ICMP (пинг, проследяващи, и така нататък)
IPTABLES -A FORWARD -d 193.193.1.4 -p. ICMP -j DROP
# Същите машини, могат да отидат в Интернет
# Но ние нямаме това, което те се маскират и подход към нашата истинска мрежа
IPTABLES -t NAT -A POSTROUTING -s 192.168.1.1 -d. 1.1.1.0/192 -j маскарад
IPTABLES -t NAT -A POSTROUTING -s 192.168.1.2 -d. 1.1.1.0/192 -j маскарад
IPTABLES -t NAT -A POSTROUTING -s 192.168.1.3 -d. 1.1.1.0/192 -j маскарад
Описание IPtables можете да намерите тук -
Е, на всички машини организиране на шлюза трябва да бъдат посочени като шлюза по подразбиране. Ако в един и същи вход ще раната си DNS-сървър, е необходимо да се уточни също. Ако имате намерение да работите с DNS-сървъра на доставчика, трябва да се регистрирате той е бил негов, а не нашата врата.
Тогава ние трябва да дадем на този скрипт права за изпълнение и да го регистрирате някъде, че ще бъде да го изпълни на всяка обувка.
10. важно.
Да не се използва този пример в истинската работа. В НИКАКЪВ СЛУЧАЙ. Това е само един пример илюстрация. Тя може да се вземе за основа, но е силно препоръчително да се промени. Този пример се приема, че входът не се изпълнява всякакъв вид услуги на мрежата, т.е. Резултатът от командата NETSTAT -antpu празна. Това е добре и това трябва да се стремим към, но това не винаги е възможно (по различни причини). Той също така съдържа конците за политиката по подразбиране на ACCEPT, което не винаги е добро (в този случай, тя позволява на всеки, не само доверени възли от lokalki, използвайте този портал като шлюза по подразбиране), въпреки че значително опростява конфигурацията. В добра политика трябва да се постави в DROP и предписва отделни правила за получаване на ICMP и DNS трафик (най-малко). Е, със сигурност има още нещо, което аз просто се пренебрегва.
12. Отбелязва.
Например - ezhikov.
Всички статии в този раздел "Мрежа"
Свързани статии