Qoraalkani wuxuu isku dayayaa inuu caddeeyo wax yar oo ku saabsan sida shabakadaha u shaqeeyaan iyo sida loogu beddelo qalabkeena Linux router kaas oo hubiya wax yar oo ka mid ah shabakadeena, ha ahaato guriga ama xitaa ganacsiga. Marka aan u dhaadhacno ganacsiga:
Marinka iyo shaandhaynta
Si looga hadlo oo loo fahmo dariiqa waxaan marka hore qeexi karnaa waa maxay shaqada router? Tan waxaan dhihi karnaa router, marka lagu daro sameynta shabakad iyo u ogolaashada isku xirnaanta aaladaha kale (ogaanshaha inaan tan ku sameyn karno AP, Switch, Hub ama kuwa kale) wuxuu awood u leeyahay inuu isku xiro laba shabakadood oo kala duwan.
Sida aan ku arki karno sawirka, waxaa jira shabakad maxalli ah "10.0.1.0" oo uu abuuray router-ka, waxayna gaaraysaa mid ka mid ah labadeeda weji. Kadib router-ka ku xiran istifaartiisa kale, wuxuu leeyahay shabakad kale, oo leh IP-keeda dadweynaha oo uu kula xiriiri karo internetka. Hawsha wadadu waxay asal ahaan u adeegtaa sidii dhexdhexaadiye ka dhexeeya labadan shabakadood si ay u wada xiriiri karaan.
Linux sida router.
Caadi ahaan, Linux Kernel horeyba waxay awood u leedahay inay sameyso "gudbinta", laakiin markii hore waa laxaad la 'yahay, marka hadaan rabno Linuxkeena inuu sameeyo shaqadan waa inaan tagnaa faylka.
/proc/sys/net/ipv4/ip_forward
Halkaas waxaan ka heli doonnaa inay tahay fayl kaliya eber ah "0", waxa ay tahay inaan sameyno waa inaan u bedelnaa mid "1" ah si aan dhaqaajino habdhaqankan. Nasiib darrose tani waa la tirtiraa markaan dib u bilawno kombuyuutarka, si aan uga dhigno mid firfircoon waa inaan isticmaalnaa amarka:
sysctl net.ipv4.ip_forward=1
Ama si toos ah ugu saxar faylka /etc/sysctl.conf. Waxay kuxirantahay qeybinta qaabeyntaan sidoo kale waxay kujireysaa feyl gudaha /etc/sysctl.d/.
Sida caadiga ah Linuxkeena waa inuu lahaadaa miis marin, taas oo guud ahaan qaabeynta shabakadeena lan iyo ku xirnaanta router-ka. Haddii aan rabno inaan aragno dariiqadan waxaan isticmaali karnaa laba amar:
route -n
o
netstat -nr
Labada amar waa inay isku mid noqdaan.
Guud ahaan, qaabeyntaan ayaa kuugu filan Linux-kaaga inuu u adeego sidii Gateway oo kombiyuutarrada kale ay dhex mari karaan kombuyuutarkeena. Hadda, haddii aan dooneyno Linux-keena inuu isku xiro laba ama in ka badan oo shabakado ah, ha ahaadeen kuwa maxalliga ah ama maahan, tusaale ahaan, waxaan ka faa'iideysan karnaa dariiqyada taagan.
Ka soo qaad in Linux-kaygu leeyahay laba shebekadood oo shebekadeed, midka hore wuxuu leeyahay xiriir internet oo shabakadiisu tahay 172.26.0.0 kan labaadna (10.0.0.0) wuxuu leeyahay kombuyuutarro kale oo ka socda shabakad kale oo maxalli ah. Haddii aan dooneyno inaan xirmooyinka ku xirno shabakadda kale waxaan isticmaali karnaa:
route add -net 10.0.0.0 netmask 255.0.0.0 gw 172.26.0.8
Guud ahaan waa:
route add -net REDDESTINO netmask MASCARA gw IPDELLINUX
hadaan siino wadada -n iyadoon loo eegin inay shabakadani jirto iyo in kale, marinkan ayaa lagu hagaajin doonaa miiskayaga.
Haddii aan dooneyno inaan baabi'ino dariiqa la yiri waan isticmaali karnaa
route del -net 10.0.0.0 netmask 255.0.0.0
Waxyaabaha la tuuri karo
Asal ahaan iptables waxaa loo isticmaalaa shaandheynta baakadaha, kuwa baxaya, kuwa soo galaya ama kuwa kale, tani waxay ka dhigeysaa qalab weyn oo lagu maareeyo taraafikada shabakadeena. Hagaag, iptables, sida ay noogu ogolaato inaan gaadiidka uga sifeyno isla kumbuyuutar, waxay sidoo kale noo ogolaaneysaa inaan sifeyno taraafikada dhex marta. (Ugudbinta) Iptables-ka waxaa loo qaybin karaa miisas, silsilado, iyo ficillo.
- Guddiyada: asal ahaan waxaa jiri kara laba miis, filter si loo shaandheeyo baakadaha iyo NAT in la turjumo cinwaanada, taas oo ah, in laga guuro hal shabakad loona wareego mid kale.
- Silsilado: Silsiladdu waxay tilmaamaysaa nooca taraafikada ee aan dooneyno inaan shaandheyno ama ku dabaalano, taas oo ah, taraafikada aan u adeegsan doonno miisaska? waxayna noqon karaan: aqbasho: Baabuurta soo socota, KOOXDA: taraafikada dibada ama HORE: Gaadiidka dhex mara, laakiin ma aha isku xirnaan habboon.
- Waxay sidoo kale u muuqan kartaa DHAGEYSO, kaas oo loo isticmaalo in lagu daaweeyo baakada qaab cayiman marka la jabiyo ka dib.
- Tallaabooyinka: Waxqabadyadu asal ahaan waa ficilka lagu fulinayo silsiladda. Tallaabadani waxay noqon kartaa DHAMMAAN taasi oo kaliya burburinaysa taraafikadaas ama AQBAL. taasi waxay u oggolaanaysaa taraafikada inay ku kacaan ficilkaas.
Xeerarka IPTABLES waa la keydiyaa oo loo fuliyaa sida ay u kala horreeyaan, oo haddii qaanuun tirtiro xeer hore, xeerka ugu dambeeya ee amarka ayaa had iyo jeer la adeegsadaa.
Siyaasadaha Firewall.
Guud ahaan, gidaarrada dabku si dabiici ah ayey u shaqeeyaan laba siyaabood:
- U oggolow dhammaan taraafikada marka laga reebo, ama
- Ha u oggolaan wax gaadiid ah marka laga reebo ...
Si aad u dalbato siyaasadaha, isticmaal IPTABLES - P silsilad ficil
Halka xadhiggu u taagan yahay nooca taraafikada (GELI, GUDBIS, HOR, DIB U HEL ...
Aynu eegno tusaale.
Halkan waxaan ku aragnaa in markii ugu horreysay aan awooday fiiqista, ka dib waxaan u sheegay IPTABLES in dhammaan iskuxirka 'OUTPUT' uu DIIWAAN yahay ama aan loo oggoleyn. Kadib waxaan ku idhi IPTABLES inay aqbalaan.
Haddii aan dhiseyno darbi-jiif oo laga soo bilaabo xoqitaanka waa inaan marwalba dabaqno sharciyada (Ha u oggolaan wax gaadiid ah marka laga reebo ... Tan darteed markaa waxaan ku dhaqmeynaa xeerarka
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P DARKA DARKA
Soo noqoshada waxaan isla qoreynaa oo waxaan ku badaleynaa 'DHEP' ACCEPT.
Waqtigan xaadirka ah, maadaama taraafikada oo dhan la diiday, waxaan bilaabaynaa inaan u sheegno IPTABLES-ka taraafikada ay yeelan karto.
Qaamuusku waa:
iptables -A cadena -s ip_orgigen -d ip_destino -p protocolo --dport puerto -j acción
Xagee:
Xarig = GARGAAR, WAX-BARASHO ama HOR
xikmad = Asalka baakadaha, tani waxay noqon kartaa hal IP ama shabakad kiiskan waa inaan sheegnaa maaskaro).
caga_ip = halka ay ku socdaan baakadaha. tani waxay noqon kartaa hal IP ama shabakad kiiskan waa inaan sheegnaa maaskaro).
nidaamka = waxay muujineysaa borotokoolka ay xirmooyinka adeegsadaan (icmp, tcp, udp ...)
dekedda = dekedda cagaf ee taraafikada.
ficil = DARO ama AQBAL
Tusaale:
DHAMMAAN siyaasadaha xaddidan ayaa khuseeya.
Kadibna waxaan ku darnaa qawaaniinta si aan awood ugu yeelano inaan gaadiid ku dhex marno dekedda 80 HTTP iyo 443 HTTPS, oo leh borotokoolka TCP. Kadibna dekedda 53 Waxaa loo adeegsadaa macmiilka DNS si uu u xalliyo aagagga, haddii kale ma mari doontid. Tani waxay ku shaqeysaa borotokoolka udp.
Khadka:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Waa sababta soo socota: Markaad sameyso codsi HTTP tusaale ahaan, waxaad ku xirmaysaa dekedda 80 ee adeegaha, laakiin adeegaha si uu u soo celiyo macluumaadka wuxuu u baahan yahay inuu kugula xiriiro deked kasta. (Guud ahaan ka weyn 1024).
Maaddaama dekeddeennii oo dhami ay xiran tahay tan la gaari maayo illaa aan ka furno dhammaan dekeddaha ka sarreeya 1024 (Fikrad xun). Waxa tan dhahayaa waa in dhammaan taraafikada soo galaya ee ka imanaya isku xir aan aniga aasaasay la aqbalo. Waxaan ula jeedaa, isku xirnaan mabda 'ahaan aan bilaabay.
Waxaan rajeynayaa inaad ka heshay macluumaadkan. Midka xiga waxaan ka hadli doonaa NAT, Wakiil iyo qoraallo loogu talagalay Firewal.
Tani waa aasaaska ay ganacsato badani qaataan si ay u soosaaraan gidaarradooda gaarka ah, taasi waa sababta ay u jiraan noocyo badan oo gidaarro ah oo ay ku jiraan linux oo gundhig u ah suuqa, qaarkood way wanaagsan yihiin kuwa kalena sidaas uma badna.
Maqaal aad u fiican. Waxaan rajeynayaa qeybta labaad.
Sharaxaad aad u wanaagsan, waxay iga caawisay inaan fahmo wakiilka shaqadayda. Mahadsanid
Waad salaaman tahay Jlcmux,
Wanaagsan, runtii waan ka helay, goorma ayaa kooxda kale la heli doonaa?
Salaan iyo mahadsanid wadaagis
Waad ku mahadsantahay faallooyinka.
Waxaan diray qaybtii kale shalay, maalinti maalintaa gudaheeda waxaan u maleynayaa inay daabici doonaan.
Thanks.
Maqaal aad u wanaagsan saaxiib @ Jlcmux, runtii waan bartay isaga tan iyo markii uu cadeeyay shakiyo aan qabay in muddo ah, habka aad uga xumaanaysid inaad la wadaagto buuga isha maqaalka, kan Sébastien BOBILLIER, si fiican slau2s iyo hada la soco qaybta 2aad, salu2s.
Mahadsanid Waad ku mahadsantahay faalladaada Israa'iil.
Waxaa ii soo baxday in aan buugga ku haysto qaab muuqaal ah. Laakiin waxaan ka helay xiriiriyahan Buugaagta Google. http://books.google.com.co/books?id=zxASM3ii4GYC&pg=PA356&lpg=PA356&dq=S%C3%A9bastien+BOBILLIER+Linux+%E2%80%93+Administraci%C3%B3n+del+sistema+y+explotaci%C3%B3n+de+los+servicios+de+red#v=onepage&q=
Waxaan u maleynayaa inay dhameystiran tahay.
Maqaal aad u wanaagsan, waxaan ku darsaday weydiin: Maxay faa'iido u leedahay isticmaalka Linux sida router, haddii ay jiraan, marka loo eego qalabka loo hibeeyay? Mise waa jimicsi uun? Waan ogahay inay jiraan waxyaabo gaar loo leeyahay laakiin ma aqaano inay tahay inay badbaadiyaan kombiyuutarradii hore ama ay bixiyaan dabacsanaan dheeraad ah oo ku saabsan qaabeynta.
Hagaag, waxaan u maleynayaa in faa'iidooyinka iyo khasaarahooduba ay kuxiran yihiin dhacdada aad ku fulineyso tan. Maxaad hubaal u tahay inaadan u iibsan doonin UTM ama wax la mid ah gurigaaga? Iyo laga yaabee ganacsi yar oo aan awoodin sidoo kale. Sidoo kale waa jimicsi ahaan, maadaama ay kaa caawineyso inaad fahamto dhammaan caqligalka tan oo aad si fiican u qaabeyn karto FWall u heellan. Intaas waxaa sii dheer in ku dhowaad dhammaan qalabkan runtii ay leeyihiin waa Linux gundhig ah.
Thanks.
Waad salaaman tahay, waa su'aal, ma abuuri kartaa "qaab macmal ah" interface ka ah Linux oo ah waddo isku mid ah oo u dhexeysa shabakadaha? (qaabka baakadda baakadda) si loogu shaqeeyo mashiinnada casriga ah? tusaale ahaan haddii aan leeyahay eth0 (maxaa yeelay waxaan haystaa hal kaar dabcan) miyaan abuuri karaa eth1 si aan u sameeyo shabakad kale? Macalin aad ufiican!
In Linux waxaad ka abuuri kartaa isdhaafsiyo muuqaal ah, dabcan. Haddii aad leedahay eth0, waxaad yeelan kartaa eth0: 0, eth0: 1, eth0: 2 ... iwm
Marka wanaagsan, waad ku mahadsan tahay wadaagista