SuSE Linux: Od verze 8.0
Nakonfigurovali jste si ISDN připojení a nyní byste je chtěli používat jako internetovou bránu pro svou lokální síť.
Vzhledem k tomu, že jde o téma, které nespadá do bezplatné instalační podpory, doufáme, že
Vám v této problematice bude nápomocen alespoň tento článek.
Tento článek není určen jako úvod do bezpečnosti v Linuxu a nastavování firewallu. Pokud
Vám nebudou některé části tohoto článku jasné, dostudujte si je v přílušné literatuře a
HOWTO.
Následující článek obsahuje postupy, které při neodborném zásahu mohou poškodit nastavení systému nebo Vaše data. Za škody, které si způsobíte následujícím postupem, nijak neručíme.
Krátký úvod.
Poznámka:
Počítač, který bude vystupovat jako brána, budeme nadále nazývat brána a
ostatní počítače připojené v lokální síti klienty.
K vytvoření brány potřebujete síťovou kartu a ISDN adaptér. Ty nakonfigurujte pomocí programu YaST2. Nejdřív nakonfigurujte síťovou kartu tak, aby měla statickou IP adresu.Např.:
IP adresa: 192.168.0.1 Maska: 255.255.255.0
Jméno počítače a routování nemusíte nijak měnit.
Poznámka:
Když konfigurujete síťovou kartu v lokální síti, musí tato karta mít IP adresu z
lokální sítě tj. takovou adresu, která se nepoužívá na Internetu. Možnou volbou jsou
například adresy začínající na 192.168.. V našem příkladě používáme adresy v rozsahu
192.168.0.0 až 192.168.0.255.
Pinkněte na právě nakonfigurovanou karty příkazem:
ping -c 2
192.168.0.1
.
Měli byste získat následující výstup:
PING 192.168.0.1 (192.168.0.1) from 192.168.0.1 : 56(84) bytes of data. 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.655 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.329 ms --- 192.168.0.1 ping statistics --- 2 packets transmitted, 2 received, 0% loss, time 1008ms rtt min/avg/max/mdev = 0.329/0.492/0.655/0.163 ms
Pokud jste neobdrželi žádnou odezvu, nakonfigurovali jste kartu špatně. Výstup příkazu
ping
ukončíte současným stisknutím kláves:
CTRL+C
Po nakonfigurování síťové karty musíte otestovat, zda se klienti mohou spojit s bránou. I
zde využijete příkaz ping
. Zadejte jej tentokrát v této formě:
ping -c 3 -b 192.168.0.255
.
Na tento příkaz dostanete odpověď, která by měla vypadat takto:
WARNING: pinging broadcast address PING 192.168.0.255 (192.168.0.255) from 192.168.0.1 : 56(84) bytes of data. 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.774 ms 64 bytes from 192.168.0.2: icmp_seq=1 ttl=64 time=1.19 ms (DUP!) 64 bytes from 192.168.0.3: icmp_seq=1 ttl=255 time=1.30 ms (DUP!) 64 bytes from 192.168.0.4: icmp_seq=1 ttl=64 time=1.57 ms (DUP!) --- 192.168.0.255 ping statistics --- 2 packets transmitted, 2 received, +3 duplicates, 0% loss, time 1010ms rtt min/avg/max/mdev = 0.325/1.033/1.573/0.438 ms
Jak vidíte, obdrželi jste odpověď z IP adres 192.168.0.1 (brána) a 192.168.0.2 až 192.168.0.4 (klienti).
Pokud jste tento výstup neobdrželi, nakonfigurujte nejdřív správně interní síť a až pak přistupte k připojení k Internetu.
Nakonfigurujte ISDN přístup. Při konfigurace nespouštějte firewall. Pokud zvolíte při konfiguraci Vytáčet na požádání, bude se připojení spouštět jak na požádání brány tak jednotlivých klientů. Vytáčení na požádání má význam jen v případě, že za linku platíte paušálně.
Připojení můžete spustit (cinternet -start
) a ukončit (cinternet
-stop
) z příkazové řádky. Připojte se a vyčkejte 30 sekund. Pak je otestujte
příkazem ping
. Můžete si pinknout nap. na náše webový server ping -c 4
www.suse.cz
.
ping -c 4 www.suse.cz 64 bytes from cthulhu.suse.cz (193.85.233.206): icmp_seq=1 ttl=56 time=15.4 ms 64 bytes from cthulhu.suse.cz (193.85.233.206): icmp_seq=2 ttl=56 time=13.9 ms 64 bytes from cthulhu.suse.cz (193.85.233.206): icmp_seq=3 ttl=56 time=15.5 ms 64 bytes from cthulhu.suse.cz (193.85.233.206): icmp_seq=4 ttl=56 time=14.6 ms --- cthulhu.suse.cz ping statistics --- 4 packets transmitted, 4 received, 0% loss, time 3026ms rtt min/avg/max/mdev = 13.975/14.882/15.517/0.637 ms
Nyní by se měly připojit k Internetu také klienti. Pokud se připojit nemohou, hledejte nejprve chyby v interní síti.
Nastavte ochranu mezi Internetem a Vaší sítí. Nejjednosušší je použít personal-firewall. Jde o jednoduchý na ip-tables založený paketový filtr. SuSE personal-firewall má konfigurační soubor:
/etc/sysconfig/personal-firewall
který obsahuje proměnnou REJECT_ALL_INCOMING_CONNECTIONS
. Otevřte si tento soubor jako uživatel root v libovolném textovém editoru a nastavte proměnnou REJECT_ALL_INCOMING_CONNECTIONS
takto:
REJECT_ALL_INCOMING_CONNECTIONS="ippp0 masq"
Dále ještě musíte sdělit jádru, že budete pakety posílat dále. To uděláte v souboru:
/etc/sysconfig/sysctl
Otevřte si tento soubor jako uživatel root v libovolném textovém editoru a nastavte proměnnou IP_FORWARD
takto:
IP_FORWARD="yes"
Zajištetě start personal-firewallu hned při startu počítače, který slouží jako brána. To uděláte příkazy:
insserv personal-firewall.initial
insserv personal-firewall.final
Abyste aktivovali nasatvení bez restartu počítače, vykonejte následující příkazy:
echo "1" > /proc/sys/net/ipv4/ip_forward rcpersonal-firewall start
Od SuSE Linuxu 8.1:
V SuSE Linuxu 8.1 se již personal-firewall nenachází. Nahradil ho SuSEfirewall2 v tzv. legacy modu. Příkazy pro spuštění SuSEfirewall2:
insserv SuSEfirewall2_final
insserv SuSEfirewall2_init
insserv SuSEfirewall2_setup
SuSEfirewall2 spustíte příkazem:
rcSuSEfirewall2 start
Připojte se k Internetu příkazem:
cinternet
-start
a otestujte připojení příkazem
ping
tak, jak bylo uvedeno v předešlých částech.
Na klientech nastavte bránu. V SuSE Linuxu 8.0 a vyšším spusťte YaST2 a zvolte Síť/pokročilé a nastavte IP adresu počítače, který slouží jako brána, v dialogu Směrování.
Výchozí brána: 192.168.0.1
Dále musíte upravit údaje týkající se nameserveru, domény a IP adres. Tato data se načítají ze souboru:
/etc/resolv.conf
V tomto případě je použit nameserver společnosti T-Online. Pomocí YaST2 na klientech nastavíte informace o nameserveru v dialogu Síť/pokročilé a nastavte údaje o nameserveru v dialogu Jméno počítace a DNS.
Nameserver 1: 217.89.23.137
Prohledávaná doména: .de
Po nastavení brány a nameserveeeru na klientovi otestujte připojení pomocí příkazu ping
.
Pokud jste úspěšně prošli všemi testy, máte nyní funkční přístup na Internet ze všech svých počítačů.