हे कार्य नेटवर्क कसे कार्य करते आणि आमच्या लिनक्स उपकरणे एका राउटरमध्ये कसे बदलता येतील याबद्दल थोडासा स्पष्टीकरण देण्याचा प्रयत्न करतो, जे घरातील किंवा अगदी व्यवसायाचे असो. चला तर मग व्यवसायावर उतरू:
मार्ग आणि फिल्टरिंग
राउटिंगबद्दल बोलण्यासाठी आणि समजण्यासाठी आपण प्रथम राउटरचे कार्य काय आहे ते परिभाषित करू शकतो? यासाठी आम्ही असे म्हणू शकतो की एक नेटवर्क तयार करणे आणि इतर उपकरणांसह कनेक्शनची अनुमती व्यतिरिक्त राउटरमध्ये (आम्ही हे एपी, स्विच, हब किंवा इतरांसह करू शकतो हे जाणून) दोन भिन्न नेटवर्क एकमेकांना जोडण्याची क्षमता आहे.
आम्ही प्रतिमेमध्ये बघू शकतो, तिथे एक स्थानिक नेटवर्क आहे "10.0.1.0" जे राउटरद्वारे तयार केले गेले आहे आणि त्यातील दोन इंटरफेसपैकी एक पोहोचते. मग त्याच्या अन्य इंटरफेसवरील राउटरमध्ये आणखी एक नेटवर्क आहे, ज्याचे सार्वजनिक आयपी आहे ज्याद्वारे ते इंटरनेटशी कनेक्ट होऊ शकते. रूटिंग फंक्शन हे मुळात या दोन नेटवर्कमधील मध्यस्थ म्हणून काम करण्यासाठी असते जेणेकरून ते संवाद साधू शकतील.
राउटर म्हणून लिनक्स.
स्वाभाविकच, लिनक्स कर्नलकडे आधीपासूनच "फॉरवर्डिंग" करण्याची क्षमता आहे, परंतु डीफॉल्टनुसार ते अक्षम केले आहे, म्हणून जर आपल्या लिनक्सला हे कार्य करायचे असेल तर आपण फाईलवर जाणे आवश्यक आहे.
/proc/sys/net/ipv4/ip_forward
तिथे आपल्याला आढळेल की ही एक फाईल आहे ज्यामध्ये फक्त शून्य "0" आहे, आपण हे करणे आवश्यक आहे ही वर्तन सक्रिय करण्यासाठी त्यास "1" मध्ये बदलले पाहिजे. हे संगणक दुर्दैवाने हटवले जाते, जेव्हा आम्ही संगणक रीस्टार्ट करतो, डीफॉल्टनुसार कार्यान्वित करण्यासाठी, आपण ही आज्ञा वापरली पाहिजे:
sysctl net.ipv4.ip_forward=1
किंवा थेट फाइलमध्ये संपादित करा /etc/sysctl.conf. वितरणावर अवलंबून ही कॉन्फिगरेशन इन फाइलमध्येही असू शकते /etc/sysctl.d/.
डीफॉल्टनुसार आपल्या लिनक्समध्ये राउटिंग टेबल असणे आवश्यक आहे, जे सामान्यत: आमच्या लॅन नेटवर्कचे कॉन्फिगरेशन आणि राउटरशी कनेक्शन असते. जर आम्हाला हा मार्ग पहायचा असेल तर आपण दोन आज्ञा वापरू शकतो:
route -n
o
netstat -nr
दोन्ही कमांड एकसारख्या परत आल्या पाहिजेत.
सामान्यतया, हे कॉन्फिगरेशन आपल्या लिनक्सला गेटवे म्हणून काम करण्यासाठी पुरेसे आहे आणि इतर संगणक आमच्या संगणकावरुन नेव्हिगेट करू शकतात. आता, जर आपल्या लिनक्सने दोन किंवा अधिक नेटवर्क कनेक्ट केले पाहिजेत, उदाहरणार्थ स्थानिक किंवा नाही, आम्ही स्थिर मार्ग वापरू शकतो.
समजा माझ्या लिनक्समध्ये दोन नेटवर्क इंटरफेस आहेत, प्रथम एकाचे इंटरनेट कनेक्शन आहे ज्याचे नेटवर्क 172.26.0.0 आहे आणि दुसर्या (10.0.0.0) मध्ये दुसर्या स्थानिक नेटवर्कचे संगणक आहेत. आम्हाला त्या इतर नेटवर्कवर पॅकेट मार्गित करायचे असल्यास आम्ही वापरू शकतोः
route add -net 10.0.0.0 netmask 255.0.0.0 gw 172.26.0.8
सर्वसाधारणपणे असे आहेः
route add -net REDDESTINO netmask MASCARA gw IPDELLINUX
जर आम्ही देऊ मार्ग -एन हे नेटवर्क अस्तित्वात आहे की नाही याकडे दुर्लक्ष करून, हे मार्ग आमच्या सारणीमध्ये निश्चित केले जाईल.
जर आम्ही सांगितलेली रूटिंग हटवू इच्छित असाल तर आम्ही वापरू शकतो
route del -net 10.0.0.0 netmask 255.0.0.0
iptables.
मुळात इप्टेबल्सचा वापर पॅकेट्स, आउटगोइंग, इनकमिंग किंवा इतर फिल्टर करण्यासाठी केला जातो, यामुळे ते आमचे नेटवर्क रहदारी व्यवस्थापित करण्याचे उत्तम साधन बनते. असो, इप्टेबल्स, ज्याप्रमाणे आम्हाला त्याच संगणकावरील रहदारी फिल्टर करण्याची परवानगी दिली जाते तसेच त्याद्वारे जाणारे रहदारी देखील फिल्टर करण्यास आपल्याला अनुमती देते. (अग्रेषण) Iptables टेबल, साखळी आणि क्रियांमध्ये विभागल्या जाऊ शकतात.
- फलक: मुळात दोन टेबल्स असू शकतात, फिल्टर, पॅकेट फिल्टर करण्यासाठी नॅट पत्त्यांचे भाषांतर करणे, म्हणजेच एका नेटवर्कवरून दुसर्या नेटवर्कवर जाणे.
- साखळी: साखळी आपल्याला कोणत्या प्रकारच्या रहदारीस फिल्टर किंवा पोहू इच्छित आहे याचा संदर्भ देते, म्हणजेच आपण कोणत्या रहदारीवर टेबल्स लागू करणार आहोत? आणि ते असू शकतात: इनपुट: येणारी रहदारी, आउटपुट: परदेशी रहदारी किंवा अग्रेषितः त्यातून जाणारे रहदारी, परंतु ते स्वतःचे कनेक्शन नाही.
- हे देखील दिसू शकते पोस्टिंग, पॅकेट रुट झाल्यानंतर विशिष्ट प्रकारे उपचार करण्यासाठी वापरले जाते
- क्रिया कृती मुळात साखळीने करावयाच्या क्रिया असतात. ही क्रिया असू शकते थेंब, जे फक्त त्या रहदारीचा नाश करते किंवा स्वीकारा. यामुळे रहदारी अशी क्रिया करण्यास अनुमती देते.
आयपटेबल्स नियम ते तयार केलेल्या क्रमाने जतन केले जातात आणि अंमलात आणले जातात आणि जर एखादा नियम मागील नियम हटविला तर ऑर्डरमधील शेवटचा नियम नेहमीच लागू केला जातो.
फायरवॉल पॉलिसी.
सर्वसाधारणपणे फायरवॉल नैसर्गिकरित्या दोन प्रकारे कार्य करतात:
- किंवा वगळता सर्व रहदारीस परवानगी द्या
- याशिवाय कोणत्याही रहदारीस परवानगी देऊ नका ...
धोरणे वापरण्यासाठी वापरा आयपॅबल्स - पी CHक्शन चेन
जिथे स्ट्रिंग रहदारीचा प्रकार दर्शविते (इनपुट, आऊटपुट, फॉरवर्ड, पोस्ट्रूटिंग ...) आणि क्रिया ड्रॉप किंवा प्रवेश आहे.
चला एक उदाहरण पाहूया.
येथे आम्ही पाहतो की प्रथम मी पिंग करण्यास सक्षम होतो, त्यानंतर मी आयपटेबला सांगितले की सर्व आउटपुट रहदारी ड्रॉप किंवा परवानगी नाही. मग मी आयपीटेबलला ते स्वीकारण्यास सांगितले.
जर आपण सुरवातीपासून फायरवॉल तयार करणार असाल तर आम्हाला नेहमीच नियम लागू केले पाहिजेत (याशिवाय कोणत्याही रहदारीस परवानगी देऊ नका ... यासाठी आम्ही नियम लागू करतो)
iptables -P इनपुट ड्रॉप iptables -P आउटपुट ड्रॉप iptables -P फॉरवर्ड ड्रॉप
परत येण्यासाठी आम्ही तेच लिहितो आणि डीआरओपीला एसीसीईपीटी सह पुनर्स्थित करतो.
या टप्प्यावर, सर्व रहदारी नाकारल्यामुळे, आम्ही आमच्या आयटबल्सना सांगायला लागतो की त्यास काय रहदारी असू शकते.
वाक्यरचनाः
iptables -A cadena -s ip_orgigen -d ip_destino -p protocolo --dport puerto -j acción
कोठे:
स्ट्रिंग = इनपुट, आऊटपुट किंवा फॉरवर्ड
आयपी_ओरिगेन = पॅकेटचे मूळ, हा एक आयपी किंवा नेटवर्क असू शकतो आणि या प्रकरणात आम्ही मुखवटा निर्दिष्ट करणे आवश्यक आहे).
गंतव्य_आयपी = जेथे पाकिटे जात आहेत. हा एकच आयपी किंवा नेटवर्क असू शकतो आणि या प्रकरणात आम्ही मुखवटा निर्दिष्ट करणे आवश्यक आहे).
प्रोटोकॉल = पॅकेट्सद्वारे वापरलेला प्रोटोकॉल सूचित करतो (आयसीएमपी, टीसीपी, यूडीपी ...)
पोर्ट = रहदारीचे गंतव्य बंदर.
क्रिया = ड्रॉप किंवा एसीसीईपीटी.
उदाहरण:
सर्व प्रतिबंधित धोरणे लागू.
मग आम्ही टीसीपी प्रोटोकॉलद्वारे 80 एचटीटीपी आणि 443 एचटीटीपीएस पोर्टद्वारे रहदारी सक्षम होण्यासाठी नियम जोडतो. नंतर पोर्ट 53 हे डीएनएस क्लायंटला डोमेन निराकरण करण्यासाठी लागू केले गेले आहे, अन्यथा आपण नेव्हिगेट करणार नाही. हे udp प्रोटोकॉलसह कार्य करते.
ओळ:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
हे पुढील कारणांमुळे आहे: उदाहरणार्थ आपण HTTP विनंती करता तेव्हा आपण सर्व्हरच्या 80 पोर्टशी कनेक्ट करता, परंतु सर्व्हरला माहिती परत करण्यासाठी कोणत्याही पोर्टद्वारे आपल्याशी कनेक्ट होण्याची आवश्यकता असते. (साधारणपणे 1024 पेक्षा मोठे).
आमची सर्व बंदरे बंद असल्याने आम्ही 1024 (खराब कल्पना) पेक्षा जास्त सर्व बंदरे उघडल्याशिवाय हे साध्य होणार नाही. हे काय म्हणते की मी स्वतः स्थापित केलेल्या कनेक्शनद्वारे येणारी सर्व येणारी रहदारी स्वीकारली जाते. म्हणजे, एक कनेक्शन जे तत्वतः मी सुरू केले.
मला आशा आहे की आपणास ही माहिती आवडली असेल. पुढील मध्ये मी फायरवाल साठी नेट, प्रॉक्सी आणि स्क्रिप्ट बद्दल चर्चा करेन.
हाच आधार आहे की बरेच उद्योजक स्वतःची फायरवॉल तयार करण्यासाठी घेतात, म्हणूनच मार्केटमध्ये एम्बेडेड लिनक्ससह बर्याच ब्रँडच्या फायरवॉल आहेत, काही चांगले आहेत तर काही इतके जास्त नाहीत.
उत्कृष्ट लेख. मी दुसर्या भागाची अपेक्षा करतो.
खूप चांगले स्पष्टीकरण, यामुळे मला माझ्या कामाचा प्रॉक्सी समजण्यास मदत झाली. धन्यवाद
नमस्कार जेएलसीएमक्स,
उत्कृष्ट, मला खरोखर हे आवडले, दुसरा पक्ष केव्हा उपलब्ध असेल?
शुभेच्छा आणि सामायिकरण धन्यवाद
टिप्पणी दिल्याबद्दल धन्यवाद.
काल मी दुसरा भाग पाठविला होता, मला वाटते त्या दिवसाच्या शेवटी ते ते प्रकाशित करतील.
ग्रीटिंग्ज
खूप चांगले लेख मित्र @ जेएलसीएमएक्स, मी त्याच्याबरोबर काही काळ शंका व्यक्त केल्यापासून मी त्याच्याबरोबर खरोखरच शिकलो, त्या मार्गाने आपण लेखाच्या स्रोताचे पुस्तक, साबॅस्टियन बॉबिलियर, चांगले स्ल्यू 2 आणि आता सामायिक करण्यास हरकत नाही. द्वितीय भाग पाहण्यासाठी, salu2s.
हॅलो, इस्राएल भाष्य केल्याबद्दल धन्यवाद.
हे पुस्तक माझ्याकडे भौतिक स्वरूपात आहे हे निष्पन्न झाले. पण मला हा दुवा गुगल बुक्सवर सापडला. http://books.google.com.co/books?id=zxASM3ii4GYC&pg=PA356&lpg=PA356&dq=S%C3%A9bastien+BOBILLIER+Linux+%E2%80%93+Administraci%C3%B3n+del+sistema+y+explotaci%C3%B3n+de+los+servicios+de+red#v=onepage&q=
मला वाटते की ते पूर्ण झाले आहे.
खूप चांगला लेख, मी एक प्रश्न जोडतो: लिनक्सला रूटर म्हणून वापरण्याचा काय फायदा असेल, जर तेथे असेल तर, हार्डवेअरला समर्पित असल्यास? की ते फक्त व्यायामासाठी आहे? मला माहित आहे की तेथे समर्पित डिस्ट्रॉज आहेत परंतु मला माहित नाही की ते जुने पीसी वाचवतात की कॉन्फिगरेशनमध्ये अधिक लवचिकता प्रदान करतात.
असो, मला वाटते की आपण ज्या अंमलबजावणी करणार आहात तेथे त्याचे फायदे आणि तोटे यावर अवलंबून आहेत. आपण आपल्या घरासाठी एक यूटीएम किंवा असे काहीतरी का खरेदी करणार नाही? आणि कदाचित एखाद्या छोट्या व्यवसायासाठी ज्याला ते परवडत नाही. हे व्यायामासाठी देखील चांगले आहे, कारण यामुळे आपल्याला याचा सर्व तर्क समजून घेण्यास मदत होते आणि आपण समर्पित एफडब्लॉलला अधिक चांगले कॉन्फिगर करू शकता. या व्यतिरिक्त जवळजवळ या सर्व उपकरणांमध्ये खरोखरच जे आहे ते एम्बेडेड लिनक्स आहे.
ग्रीटिंग्ज
हॅलो, एक प्रश्न, आपण नेटवर्कमधील समान रूटिंगसाठी लिनक्समध्ये "कृत्रिम" इंटरफेस तयार करू शकता? (पॅकेट ट्रेसर शैली) आभासी मशीनसह कार्य करण्यासाठी? उदा. जर माझ्याकडे एथ 0 असेल (कारण माझ्याकडे एकच कार्ड आहे) तर मी दुसरे नेटवर्क बनविण्यासाठी एथ 1 तयार करू शकतो? खूप चांगले शिक्षक!
लिनक्समध्ये तुम्ही नक्कीच व्हर्च्युअल इंटरफेस तयार करू शकता. आपल्याकडे eth0 असल्यास आपल्याकडे eth0: 0, eth0: 1, eth0: 2 ... इत्यादी असू शकतात
खूप छान, वाटल्याबद्दल धन्यवाद