Главная » 2013 » Декабрь » 12 » 17.1. Настройка шлюза
02:03
17.1. Настройка шлюза

Сначала определим функции, которые должен выполнять шлюз:

1. Поддержка связи с провайдером.

2. Маршрутизация IP‑пакетов между локальной сетью и сетью Интернет для выхода пользователей локальной сети в Интернет.

3. Обеспечение IP‑сервиса.

4. Защита локальной сети от несанкционированного доступа из Интернет.

Конфигурирование шлюза в операционной системе Linux состоит из следующих этапов:

1. Настройка ядра.

2. Настройка сети.

3. Конфигурирование IpChains.

4. Настройка DNS.

5. Настройка Squid.

Для определенности будет использоваться два сетевых интерфейса – eth0, идущий к провайдеру, и eth8 – во внутренней сети. Пусть интерфейсу eth0 назначен IP‑адрес 111.111.111.111, a eth8 – 192.168.1.1

17.1.1. Настройка ядра

Скорее всего, вам придется перекомпилировать ядро. При этом должны быть активизированы следующие опции:

Можно также поэкспериментировать с набором опций Advanced Router, если данные функции есть в вашем ядре. Более подробно о процессе компилирования ядра вы можете прочитать в следующей главе.

17.1.2. Настройка сети

После перекомпилирования ядра нужно включить IP‑forwarding. Сделайте это при помощи следующей команды:

Настройку сетевых карт произведите с помощью программы netconf. О том, как это сделать, было рассказано в гл. 8.

17.1.3. Конфигурирование IpChains

Теперь приступим к настройке IPChains. Создайте цепочку, через которую пойдет весь трафик от провайдера:

Запретите ip‑spoofing:

DENY Запретите Telnet снаружи:

Если вы не хотите, чтобы samba «светилась» наружу, запретите порты 137‑139:

To же самое проделайте для портов 138 и 129.

О настройке samba вы можете прочитать в Samba‑HOWTO.

Создайте цепочку для подсчета трафика:

Для того, чтобы ваши правила были постоянными (при перезагрузке машины правила IpChains теряются), используйте скрипты ipchains‑save и ipchains‑restore. Настройте свои правила, а затем выполните команду:

Далее создайте скрипт, подобный тому, что приведен в листинге 17.1.

Листинг 17.1. Скрипт управления пакетной фильтрацией

Этот скрипт добавьте в сценарии загрузки системы.

17.1.4. Настройка DNS

Напомню, что основной задачей сервера доменных имен (Domain Name System) является преобразование мнемонических имен машин в IP‑адреса и обратно. Обычно сервер DNS устанавливается на шлюзе, который используется для выхода в Интернет.

Прежде чем приступить к настройке сервера, нужно определить, запущен ли он:

Если он запущен, его нужно остановить (с помощью ndc), а если он вообще не установлен, то придется установить пакет bind. Для работы сервера должен быть активизирован сервис network.

Теперь приступим к непосредственной настройке сервера. Основная информация о параметрах сервера содержится в файле /etc/named. conf (см. листинг 17.2).

Листинг 17.2. Файл named. conf

Основной каталог сервера – /var/named. В нем сервер будет искать файлы dhsilabs. com. named. local, 192.168.1, named. ca (см. листинги 17.3, 17.4, 17.5). Обслуживаемая нашим сервером зона (домен) – dhsilabs. com (см. листинг 17.3). Файл named. са – корневой кэш – содержит информацию о корневых серверах DNS. Позже займемся его обновлением.

Листинг 17.3. Файл dhsilabs. com (для преобразования имен в IP‑адреса)

Где: NS – обозначает name server;

A – IP‑адрес;

MX – почтовик <приоритет>. Чем ниже значение, тем выше приоритет;

HINFO – сведения об аппаратном обеспечении (заполнять не рекомендую);

ТХТ – прочие сведения;

CNAME – каноническое имя, т. е. если вы в окне браузера введете http://www. dhsilabs. com, то обращение будет произведено к den. dhsilabs. com. Обратите внимание на точку в конце:

(Если точка не указана, то к имени будет добавлено имя домена (т. е. dhsilabs. com)).

Листинг 17.4. Файл named. local
Листинг 17.5. Файл 192.168.1 или файл обратного соответствия

Запись PTR используется для преобразования IP‑адреса в имя. Если указан не весь IP:

То к нему будет добавлен адрес подсети 1.168.192. Обратите внимание: IP‑адреса указываются в обратном порядке!

17.1.5. Настройка Squid

Установите пакет squid. Осталось настроить и запустить его. Для этого нужно отредактировать файл конфигурации /etc/squid/squid. conf. Сначала укажите адрес прокси провайдера:

Задайте объем ОЗУ, который будет использовать прокси‑сервером:

В том случае, если вы планируете использовать этот компьютер еще и для других целей, кроме как в качестве прокси‑сервера, то не рекомендуется устанавливать здесь более трети физического объема ОЗУ.

Далее укажите, где будет располагаться кэш (первое число – это количество Мб для кэша):

Затем укажите хосты, из которых разрешен доступ к прокси‑серверу:

После этого пропишите пользователей, которым разрешено пользоваться squid (в приведенном примере это den, admin, developer):

Тэги maxium_object_size и maxium_object устанавливают ограничения на размер передаваемых объектов.

В заключении хочу дать один хороший совет: из соображений безопасности отредактируйте свои /etc/services и /etc/inetd. conf и отключите неиспользуемые сервисы – это уменьшит вероятность взлома вашей системы. Вот, в общем‑то, и все.

Категория: Обратный звонок | Просмотров: 465 | Добавил: spb_serge | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *: