Friukha distribucija se često naziva najprikladnijom za rješavanje primijenjenih mrežnih problema na lokalnoj mreži. Danas ćemo se pozabaviti jednim od mrežnih problema - postavljanjem gateway-a na Freebsd 10 za pristup Internetu sa LAN-a. Ovo je jednostavna, popularna i tražena funkcionalnost servera koja se može proširiti dodatnim funkcijama.
Koristićemo sledeća verzija sistemi za rješavanje našeg zadatka konfiguracije gatewaya:
# uname -v FreeBSD 10.2-RELEASE-p8 # 0 r292756M: Sub 26 Dec 22:49:34 MSK 2015 [email protected]: / usr / obj / usr / src / sys / GENERIC
Server ima 2 mrežne kartice:
- hn0- eksterno sučelje, prima internet od provajdera, dhcp postavke
- hn1- lokalna mreža, adresa 10.20.30.1, podešena ručno
U našem zadatku postavljanja softvera freebsd ruter uključivat će konfiguriranje rutiranja na serveru, instaliranje i konfiguriranje ipfw-a, omogućavanje nat-a, konfiguriranje lokalnog dhcp i dns servera.
Priprema servera za konfiguraciju gatewaya
Informacije o izdatim dnsmasq serverskim dhcp zakupima mogu se vidjeti u datoteci /var/db/dnsmasq.leases.
Analiza mrežne aktivnosti u freebsd-u sa iftop-om
Ponekad želite da vidite šta se dešava na ruteru i ko koristi internet ovog trenutka... Sistem podrazumevano nema gotov alat za dobijanje ovih informacija. Doći će nam u pomoć jednostavan program iftop, koji vam omogućava da vidite aktivnost na mrežnom interfejsu u realnom vremenu.
Instaliraj iftop na konfigurirani Freebsd gateway:
# pkg instalirajte iftop
Pokrenite iftop specificirajući sučelje i prikazujući korištene portove:
# iftop -i hn1 -P
Vidimo zanimljivu sliku - ko, gdje, koja luka i kojom brzinom se penje.
Na primjer, pokrenuo sam generator internet saobraćaja na jednom od računara. Zauzeo je skoro cijeli kanal i postao je savršeno vidljiv na ruteru koristeći iftop. Naravno ovo jednostavan uslužni program ne rješava sve probleme praćenja mrežna aktivnost ali je u redu za predstavljanje trenutne slike osim ako vam treba više.
Zaključak
Hajde da sumiramo šta smo uradili. U kratkom vremenu, postavili smo punopravni gateway (u stvari, softverski ruter) baziran na Freebsd 10 kako bismo klijentima omogućili pristup Internetu iza servera. Istovremeno su obezbijedili automatski prijem postavke. Čak i na skromnim virtuelni server takav gateway može podnijeti prilično veliki promet.
Cijelo postavljanje traje bukvalno 10-15 minuta. Većina vremena se troši na izgradnju kernela. Što više Freebsd verzija, što se duže skuplja, uprkos činjenici da se brzina pegle značajno povećava.
Hajde da prođemo kroz tačke i shvatimo šta smo tačno uradili:
- Pripremio server za konfiguraciju gateway-a.
- Ponovo izgradio kernel sa potrebnim parametrima.
- Konfigurisan ipfw i nat, omogućeno rutiranje.
- Instaliran i konfigurisan dnsmasq za distribuciju mrežnih postavki putem dhcp i dns servera.
- Instalirali smo iftop za najjednostavniju analizu mrežne aktivnosti na eksternom interfejsu.
Ovo je dovoljno za punopravan rad gateway za Freebsd 10. Ako postoji potreba da se izračuna promet korisnika ili ograniči pristup određenim resursima, možete mu pristupiti.
Ovaj članak će razmotriti implementaciju jednostavne (kancelarijske ili kućne) lokalne mreže sa pristupom Internetu na bazi operativni sistem FreeBSD. Server razmatran u prethodnim člancima (poznat i kao kapija za Internet) biće implementiran na ovom operativnom sistemu. Ovdje ćemo razmotriti samo osnovnu instalaciju FreeBSD-a i postavljanje internetske veze, a dodatne mrežne usluge (FTP, WEB, itd.) će biti razmatrane u odgovarajućim člancima. Daljnji materijal će se temeljiti na članku „Jednostavan uredski LAN sa internet vezom".
Osnovna instalacija i konfiguracija FreeBSD-a
Pa posle pripremne radnje raspravljano u članku , idemo na instalaciju FreeBSD 6.2 operativnog sistema.
Slike CD-a se mogu preuzeti sa www.freebsd.org (2 CD-a).
Nakon pokretanja računara sa instalacionog CD-a, pokreće se sysinstall program koji je dizajniran da instalira i FreeBSD postavke... Koristeći ovaj program, možete konfigurisati operativni sistem ne samo tokom instalacije, već i nakon, u bilo kom trenutku, pokretanjem sa komandna linija(# sysinstall).
Navigacija u njemu se vrši pomoću sljedećih tipki: strelice kursora, <пробел>
,
Da biste se vratili na prethodni meni, izaberite stavku Izlaz ili
... Također možete označiti odabrane stavke svemir ohm ili enter th. (Iz menija za odabir paketa ( paketi) se može izaći samo odabirom tipke
čak i ako ne želite da instalirate nijedan paket.)
Počinjemo sa instalacijom.
1. Odaberite stavku iz menija Custom.
2.
Zatim u meniju koji se pojavi odaberite stavku Particija i uđite u uređivač rezova (odsječci odgovaraju primarnim odeljcima u Windows i Linux terminologiji; jedan slice je dovoljan za instaliranje FreeBSD-a). Napomena: ako računar ima nekoliko tvrdi diskovi, prvo će biti zatražen meni za odabir diska.
Na primjer, moja mašina već ima dvije particije sa Windows XP-om, a ostatak prostora je označen kao neiskorišćen(nije zauzeto):
Da biste izbrisali odeljak, pomerite kursor na njega strelicama gore i dole i pritisnite
Da biste kreirali isečak za freebsd, pomerite kursor na odeljak označen kao neiskorišćen, i pritisnite taster
Zatim se slažemo sa predloženim tipom particije (165 - za FreeBSD). Kao rezultat, dobijamo krišku ad2s3, gdje ad2s3 znači: a ta d isk 2
, s vaške 3
.
Da biste završili uređivanje isječaka, pritisnite tipku
(Završi).
3. U meniju koji se pojavi odaberite instalaciju upravitelja pokretanja - BootMgr.
4.
Odabir stavke Label i uđite u uređivač odjeljka sistem podataka FreeBSD. Ovdje se prethodno kreirani slice može "isjeći" na particije FreeBSD sistema datoteka. Ova podjela se može izvršiti automatski pritiskom na tipku
(Automatske zadane postavke) ili ručno. Pokušajte sa automatskim razdvajanjem. Možete izbrisati bilo koji dio pritiskom na
Da biste kreirali sekciju, postavite kursor na "isječenu" krišku ad2s3(ili šta god imate ... u samom gornjem redu) i pritisnite tipku
dobio sam ovako:
Kao što vidite, particije sistema datoteka se označavaju dodavanjem slova (a, b, ...) imenu slice.
Završite uređivanje sekcija klikom
(Završi) i vratite se na meni.
5. Prelazimo na stvar Distribucije, gdje možete odabrati tip osnovne instalacije i označiti opciju Developer, što znači da će svi glavni binarni programi (sistemski uslužni programi, biblioteke, kompajleri), izvori i dokumentacija biti instalirani. Slažete se da instalirate kolekciju portova. Nadalje, odabirom stavke Izlaz, vratite se na prethodni meni i odaberite Počinite, odaberite izvor instalacije (u našem slučaju CD / DVD) i potvrdno odgovoriti na upozorenje o nepovratnosti daljih radnji. Nakon toga ide proces ugradnje osnovnih komponenti sistema. Nakon što se instalacija završi, od vas će biti zatraženo da se vratite u konfiguracijski meni kako biste nastavili s instalacijom/konfiguracijom. Mi biramo i vratite se na meni.
6. U tački Root lozinka postavite lozinku za root (administratorskog) korisnika. Paragraf Menadžer korisnika ne dirajte - kasnije ćemo dodati korisnike.
7. Rusificirajte konzolu (stavka Konzola):
- u tački Font izabrati IBM 866,
- u tački Tastatura izabrati Rusija KOI8-R,
- u tački Screenmap izabrati KOI8-R to IBM866,
- u tački Ttys izabrati KOI8-R (cons25r).
8. Konfigurišemo miša (stavka Miš):
- u tački Tip izabrati auto(U većini slučajeva),
- u tački Luka izabrati PS / 2(ili COM1 ...),
- u tački Omogući uključite podršku miša i provjerite kako radi.
9. U tački Umrežavanje možete konfigurirati mrežu:
- u tački Interfejsi možete odabrati sa liste i konfigurisati određena mrežna sučelja (za neke mrežne kartice, možda ćete morati ponovo kompajlirati kernel ili ih konfigurirati prije nego što se pojave na listi). Svoju mrežu možete postaviti kasnije, pogledajte odjeljak Mrežne postavke ispod .;
- označite opciju ssh da imaju siguran daljinski pristup sistemu;
- označite opciju Gateway da se omogući rutiranje ip paketa između mrežnih interfejsa (ako će se mašina koristiti kao ruter).
Ali vratit ćemo se postavljanju mreže u jednom od sljedećih članaka.
10. Paragraf Sigurnost ne dirajte.
11.
Odabir stavke Paketi da instalirate više paketa odjednom, iako je bolje instalirati aplikacije sa portova. Instalacijski CD mora biti instaliran na CD-ROM. Za sada ćemo odabrati samo bash shell. Može se naći u grupi školjke... Pa, a onda po svom ukusu, na primjer, možete odmah odabrati instalaciju XFree86-4.3, kde, moziila itd., iako X nije potreban za server u velikoj mjeri.
Označavanje ključem
12. U sistem se prijavljujemo pod imenom root.
13.
Konzolu prilagođavamo sebi. (Ovaj korak nije obavezan).
Konfigurirajmo i napravimo glavni bash shell koji smo mi instalirali (kao u Linuxu).
Hajde da proverimo da li je u fajlu / etc / školjke ako ne, onda dodajte red tamo: / usr / local / bin / bash.
Da bi bash interpretator bio glavni za root superkorisnika, možete koristiti naredbu:
# pw usermod root -s / usr / local / bin / bash
Kopiranje fajlova .bash_profile, .bashrc, .bash_logout iz imenika / usr / compat / linux / etc / skel v / root i / usr / share / skel, ali već sa imenima dot.bash_profile, dot.bashrc, dot.bash_logout respektivno. Ovo se može uraditi sa sledećim komandama:
# cp /usr/compat/linux/etc/skel/.bash_profile /root/.bash_profile # cp /usr/compat/linux/etc/skel/.bashrc /root/.bashrc # cp / usr / compat / linux / etc /skel/.bash_logout /root/.logout # cp /usr/compat/linux/etc/skel/.bash_profile /usr/share/skel/dot.bash_profile # cp /usr/compat/linux/etc/skel/.bashrc /usr/share/skel/dot.bashrc # cp /usr/compat/linux/etc/skel/.bash_logout /usr/share/skel/dot.logout
Ove konfiguracijske datoteke će sada biti kopirane u njihove matične direktorije kada se kreiraju novi korisnici.
Promijenimo zadane postavke za interaktivnu naredbu za dodavanje korisnika adduser-a tako što ćemo je pokrenuti pomoću -C prekidača:
# adduser -C
(odgovaramo klasa: ruski, shell: bash, ostalo ostavljamo po defaultu).
Sve. Sada novi korisnici koje je kreirao uslužni program adduser, imaće rusifikovanu konzolu sa bash komandnim interpretatorom.
I završni dodir. Da promijenite prompt komandne linije u datoteke .bashrc(i /usr/share/skel/dot.bashrc) dodajte red: PS1 = "$", nakon čega će prompt izgledati [[email protected] currentdir] $ .
Imajte na umu da možete uređivati konfiguracijske datoteke u jednostavnom uređivaču teksta ee, Na primjer:
# ee /usr/share/skel/dot.bashrc
Zatim možete kreirati nove korisnike koristeći uslužni program adduser... Kako bi korisnik u budućnosti imao priliku da dobije super prava root korisnik naredbom su, mora biti uključen u grupu kotača.
Raspored tastature možete promeniti pritiskom na
Na ovom početno podešavanje i postavljanje sistema je završeno.
Konfigurisanje kernela
Ovdje se ukratko dotičemo pitanja konfiguracije i kompajliranja kernela.
Vjerovatno su mnogi zadrhtali kada su čuli zastrašujuću frazu - "kompajliranje kernela sistema". Međutim, ako to mirno shvatite, u tome nema ništa loše. Sa stajališta laika, kernel je "sloj" između aplikativnih programa i hardvera. Aplikacioni programi ne komuniciraju sa "hardverom" i međusobno direktno, sva interakcija se odvija kroz jezgro, a ova interakcija se vrši preko standardni interfejs sistemski pozivi. Pored interfejsa sistemskog poziva, kernel sadrži podsistem datoteka, podsistem za kontrolu procesa, I/O podsistem, drajvere uređaja (moduli kernela). Ali za sada, jedina stvar koja nam je bitna je da kernel komunicira direktno sa hardverom, a FreeBSD nam omogućava da konfigurišemo kernel za određeni hardver. Zadani kernel podržava mnogo hardvera koji se u našem slučaju ne koristi i pruža samo osnovnu funkcionalnost.
Počnimo s konfiguracijom kernela
Prilagođavanje FreeBSD kernela se vrši uređivanjem konfiguracijske datoteke kernela u bilo kojem uređivaču teksta. Podrazumevano jeste / usr / src / sys / i386 / conf / GENERIC... Ali nećemo ga uređivati, već kopiju. / usr / src / sys / i386 / conf / NEW_GENERIC.
Da biste to učinili, pokrenite sljedeće naredbe:
# cd / usr / src # cp sys / i386 / conf / GENERIC sys / i386 / conf / NEW_GENERIC # ee sys / i386 / conf / NEW_GENERIC
U datoteci NEW_GENERIC uklanjamo podršku za hardver koji nemamo i funkcionalnost koja nam nije potrebna jednostavnim komentarisanjem ili brisanjem odgovarajućih redova. Ako niste sigurni, onda je najbolje da ništa ne brišete. Zatim dodajemo nekoliko parametara da omogućimo NAT (prevođenje adrese - pretvaranje IP adresa lokalne mreže u eksternu IP adresu), što će omogućiti korištenje jedne vanjske IP adrese na Internetu za sva računala na lokalnoj mreži:
Ident NEW_GENERIC opcije IPFIREWALL opcije IPDIVERT opcije IPFIREWALL_VERBOSE opcije IPFIREWALL_VERBOSE_LIMIT = 1000
Evo ident NEW_GENERIC definira ime novog kernela (možete navesti bilo koje).
opcije IPFIREWALL- uključuje FIREWALL.
opcije IPFIREWALL_VERBOSE- uključuje evidencije firewall-a.
opcije IPDIVERT - omogućava preusmjeravanje paketa sa jednog mrežnog interfejsa na drugi, opcija je potrebna za prevođenje adrese, za "dijeljenje" interneta.
Liste podržanih uređaja i opcija možete pronaći u fajlovima:
/ usr / src / sys / i386 / conf / NAPOMENE i / usr / src / sys / conf / NAPOMENE.
Prevodimo kernel sa sljedećim naredbama:
# napravi buildkernel KERNCONF = NEW_GENERIC # napravi installkernel KERNCONF = NEW_GENERIC
Ponovo pokrećemo računar. Sve. Stari kernel će se automatski pohraniti u direktorij /boot/kernel.old.
Ne-PnP uređaji se mogu konfigurisati uređivanjem datoteke /boot/device.hints... Potrebnom uređaju (po analogiji sa ostalima) se mogu dodijeliti brojevi prekida, portova, itd. Također možete zabraniti korištenje bilo kojeg uređaja. Na primjer, u mojoj "majci" je bila "kriva" implementacija podrške za acpi, zbog čega je miš bio u grešci, a ja nisam želio da ponovo flešujem bios. Tako da sam upravo isključio acpi podršku u kernelu dodavanjem u fajl /boot/device.hints sljedeći red:
Hint.acpi.0.disabled = "1"
Ali ovo je samo primjer. Nadam se da će ti sve dobro funkcionirati i bez toga.
Još jedan poen. Svi uređaji definirani kernelom imaju alfanumeričke oznake, na primjer pcm0 - zvučna kartica... Koji uređaji, pod kojim imenima i koliko dobro ih je kernel mogao identificirati i konfigurirati, može se vidjeti pri pokretanju sistema ili komandom dmesg.
Mrežna konfiguracija
Sada možete početi da konfigurišete naš server kao gateway za Internet. Dakle, naš server ima dvije mrežne kartice: jedna "gleda" na Internet, a druga na našu lokalnu mrežu. U mrežnim postavkama, prvi mrežna ploča potrebno je da registrujemo IP adresu, gateway, masku podmreže i IP adrese DNS servera koje nam je dao Internet provajder. Pretpostavimo da nam je u našem primeru provajder obezbedio: eksterni IP 195.34.10.134, gateway provajdera 195.32.10.1, DNS servere: 195.34.32.116 i 87.240.1.2).U postavkama druge mrežne kartice potrebno je registrovati IP adresu 192.168.20.1 koja pripada našoj lokalnoj mreži (vidi. "Jednostavna kancelarijska lokalna mreža sa internet vezom").
Prilagodba mrežni interfejsi može se obaviti pomoću uslužnog programa koji već poznajete sysconfig(vidi stav 9 osnovna instalacija gore) ili direktnim uređivanjem datoteke /etc/rc.conf.
U svakom slučaju, za naš primjer, fajl /etc/rc.conf mora sadržavati sledeći redovi(mrežne postavke):
Ifconfig_rl0 = "inet 195.34.10.134 mrežna maska 255.255.255.0" # eksterna IP adresa i maska podmreže koju obezbjeđuje ISP ifconfig_rl1 = "inet 192.168.20.1 mrežna maska 255.255.255.1 koja će biti naša interna mreža, #default gate za internu mrežu, #default gate. "YES "# način rada rutera, omogućava vam prosljeđivanje paketa između mrežnih sučelja natd_enable =" YES "# omogući NATD demon koji prevodi adrese: interne u eksterne i obrnuto natd_interface =" rl0 "# natd demon radi na vanjskom sučelju defaultrouter = " 195.34.10.1 " # podrazumevani gateway koji obezbeđuje provajder firewall_enable = "YES" # omogući firewall firewall_type = "OPEN" # za sada ćemo se ograničiti na liberalnu verziju imena hostname zaštitnog zida = "myoffice.ru" # ime ovog servera sshd_enable = "DA" # za daljinski pristup na server
rl0 i rl1- ovo su nazivi mrežnih sučelja u našem primjeru (na Realtek čipu). Možete vidjeti nazive vaših mrežnih sučelja pomoću naredbe ifconfig ili putem interaktivnog uslužnog programa za konfiguraciju syscinstall.
Ako imate bilo koje druge udaljene lokalne mreže, na primjer 192.168.40.0/24 i 192.168.50.0/24, kojima se pristupa iz naše lokalne mreže preko gatewaya 192.168.20.101 odnosno 192.168.20.102, tada statične rute rute do ovih mreža, ako je potrebno, mogu se specificirati na sljedeći način (u datoteci /etc/rc.conf):
Static_routes = "net1 net2" routes_net1 = "192.168.40.0/24 192.168.20.101" # paketi do podmreže 192.168.40.0/24 će proći kroz gateway 192.168.40.0/24 ruta.20.129 "#paket.20.129" podmreža 192.168 .50.0 / 24 će proći kroz 192.168.20.102 gateway
Domain myoffice.ru nameserver 195.34.32.116 nameserver 87.240.1.2
Sada da bi promjene stupile na snagu, pokrenite naredbu / etc / netstar t ili ponovo pokrenite server.
Provjeravamo mrežu.
Prvo, pingujemo do provajderovog gateway-a:
# ping 195.34.10.1
Zatim na DNS server:
# ping 195.34.32.116
A zatim na bilo koju internet stranicu:
# ping yandex.ru
Pingujemo mašine na našoj lokalnoj mreži, na primjer:
# ping 192.168.20.4
Ako paketi prođu, onda je sve u redu.
Konfigurisanje pristupa Internetu za radne računare (radne stanice) u lokalnoj mreži
Sada pređimo na postavljanje radnih računara.
Ako se za radne računare koriste statičke IP adrese (odnosno, unose se ručno, a ne distribuiraju preko DHCP servera), potrebno je samo da se registrujete u TCP/IP postavkama za svaki radni računar:
statička IP adresa (jedinstvena za svaki računar u lokalnoj mreži, na primjer 192.168.20.4),
maska podmreže (255.255.255.0 u našem slučaju)
default gateway (192.168.20.1, tj. IP našeg servera na FreeBSD-u, koji je gateway na Internet)
DNS serveri (isti kao i oni koje pruža provajder)
Ovo se radi u Windows XP-u putem:
Start-Panel menadžment- Mrežne veze na ikoni mrežne veze sa lokalnom mrežom kliknite desni klik miša, odaberite "properties" - TCP / IP postavke.
Ponovo pokrećemo računar i provjeravamo rad mreže:
U kontekstu ovog priručnika mi ćemo gledati IPv4 adresiranje. Postavke IP adrese se vrše preko rc.conf fajla iu njemu registrujemo i statičku ip adresu i, u slučaju korišćenja DHCP-a, ukazujemo na potrebu za korišćenjem dinamičke.
Prvo, hajde da odredimo koja se mrežna sučelja koriste na mašini, to ćemo učiniti pomoću naredbe ifconfig.
Snimak ekrana prikazuje rezultat naredbe ifconfig. Na njemu možemo vidjeti jednu mrežnu karticu pod nazivom em0, kao i virtualni loopback interfejs lo0. Naziv mrežnog sučelja ovisi o proizvođaču (na primjer, za Realtek mrežne kartice će biti re, za mene je ovo ugrađena Intel mrežna kartica). U našem slučaju vidimo naš mrežni interfejs sa dodeljenom adresom 192.168.2.6. Mrežna maska se piše heksadecimalno
Postavljanje statičke IP adrese.
Recimo da želim promijeniti IP adresu bez ponovnog pokretanja mašine. Ovo se može učiniti jednom naredbom kroz shell. Shodno tome, ova adresa će se promijeniti nakon ponovnog pokretanja. sva podešavanja pri pokretanju preuzimaju se iz /etc/rc.conf fajla i tu još nećemo ništa dodavati.
Na primjer, želim promijeniti adresu u 192.168.2.78. Postoje dvije opcije za pisanje naredbe, obje su ispravne -
Ifconfig em0 192.168.2.78 mrežna maska 255.255.255.0
Ifconfig em0 192.168.2.78/24
Obje naredbe će promijeniti IP adresu, razlika je u formatu snimanja, u drugom slučaju označavamo 24. podmrežu koja odgovara mrežnoj maski 255.255.255.0. Za ovo statička adresa postalo trajno (ma koliko haotično zvučalo, u smislu da je sačuvano nakon ponovnog pokretanja). Moramo dodati unos u /etc/rc.conf
Postoje i dva načina da odredite masku podmreže:
Ifconfig_em0 = "192.168.2.78 mrežna maska 255.255.255.0"
Ifconfig_em0 = "192.168.2.78/24"
Nakon ponovnog pokretanja, vaš server će dodijeliti em0 sučelju ip-adresu 192.168.2.78 i masku 255.255.255.0
Dobivanje dinamičke adrese od DHCP-a
V u ovom slučaju postoje i dva načina, prvi je privremeni (prije ponovnog pokretanja), drugi je trajan, odnosno primanje adrese svaki put nakon ponovnog pokretanja.
Shodno tome, za prvu putanju jednostavno unosimo naredbu
Dhclient em0 Za drugu putanju, dodajte red u rc.conf
Ifconfig_em0 = "DHCP"
Postavljanje zadanog gatewaya.
Da postavite podrazumevani gateway, uredite /etc/rc.conf fajl, dodajte ili promenite red -
Defaultrouter = "192.168.2.254"
To možete učiniti i pomoću naredbi - ruta izbriši default route add default 192.168.2.254
Podešavanje DNS servera
Da navedete DNS servere (na primjer, želimo da instaliramo javni Google DNS), otvorite datoteku /etc/resolv.conf za uređivanje i pisanje - server imena 8.8.8.8 server imena 8.8.4.4
Korišćenje FreeBSD-a na malim ruterima za komunikaciju sa spoljnim svetom odavno je prestalo da bude nešto izvanredno. Ovaj operativni sistem koji se lako koristi, sa malim resursima i malo održavanja je skoro idealan za takve zadatke.
Trebamo
Hardver... Da se povuče interna mreža za internet, kompjuter je dovoljan Pentium III 600 MHz, 256 MB RAM-a, 10 GB HDD, 2 mrežne kartice. Konfiguracija je uzeta sa marginom, za punopravnu mrežu male kancelarije (oko 50 korisnika) Pentium II 400 MHz sa 128 MB RAM-a bi bio sasvim dovoljan. Ali u budućnosti ćete možda htjeti instalirati na isti gateway, na primjer, proxy server, bolje je odabrati konfiguraciju višeg nivoa.
Operativni sistem: FreeBSD 5.5 ili 6.1.
Dodatno: zbog činjenice da je ovaj računar podložan kontinuiranoj upotrebi, preporučujem da ga isporučite u kućištu dodatni ventilatori za obezbjeđivanje prisilne promaje / izduvnog zraka za hlađenje. Skoro sve moderno ATX kućišta neka ti to uradiš.
Pošto su svi potrebni moduli uključeni u operativni sistem, ništa nam više nije potrebno.
Konfigurisanje mrežnih interfejsa
Potrebno je razjasniti nazive interfejsa mrežnih kartica po kojima ih operativni sistem prepoznaje.
Nešto poput ovoga bi se trebalo pojaviti:
rl0: zastavice = 8843 mtu 1500
opcije = 8
eter 00: xx: xx: xx: xx: xx
status: aktivan
xl0: zastavice = 8843 mtu 1500
opcije = 9
etar 00: zz: zz: zz: zz: zz
medij: Ethernet automatski odabir (100baseTX)
status: aktivan
plip0: zastavice = 108810 mtu 1500
lo0: zastave = 8049 mtu 16384
inet6 :: 1 prefikslen 128
Računar ima dvije mrežne kartice sa nazivima interfejsa rl0 i xl0.
U našem slučaju, rl0 sučelje će "gledati" na vanjski svijet, a xl0 - na unutrašnju mrežu. Interni interfejs IP: 192.168.9.2, maska podmreže 255.255.255.0, naziv interfejsa xl0; IP adresa eksternog interfejsa je 83.xxx.xxx.xxx, maska podmreže je 255.255.255.224, a ime interfejsa je rl0.
Možete saznati koje mrežne kartice kojih proizvođača odgovaraju određenim mrežnim adresama gledajući GENERIC datoteku u /usr / src / sys / i386 / conf direktoriju:
# više / usr / src / sys / i386 / conf / GENERIC
U njemu nalazimo odgovarajuće linije:
uređaj rl # RealTek 8129/8139
…
uređaj xl # 3Com 3c90x (“Bumerang”, “Ciklon”)
Dakle, rl0 sučelje odgovara mrežnoj kartici RealTek 8129/8139 i njenim analozima. Mrežni interfejs xl0 odgovara 3Com mrežnoj kartici.
Odvojeno, vrijedi spomenuti GENERIC fajl. Ovo je konfiguraciona datoteka kernela koja se podrazumevano instalira kada je instaliran FreeBSD. Organiziran je tako da sustav može podržati većinu najčešće korištenih uređaja, uključujući i navedene mrežne kartice. Vrlo često se dalje modifikacije kernela grade na modificiranoj kopiji ove datoteke. U ovom slučaju, uradićemo upravo to:
Gateway provajdera - podrazumevano 83.xxx.xxx.1.
Mreža sadrži korisničke računare - 192.168.9.31, 192.168.9.32.
Naša domena je (uslovno) ourdomain.ru.
Naziv hosta (računara) je ourhost.ourdomain.ru.
Konfigurišemo mrežne kartice. Možete koristiti uslužni program sysinstall (/ stand / sysinstall za FreeBSD 5.5 i / usr / sbin / sysinstall za FreeBSD 6.1) Ali pošto znamo sve potrebnih parametara, zatim da bismo pojednostavili proces i uštedjeli vrijeme, mi ćemo postaviti parametre uređivanjem odgovarajućih konfiguracijskih datoteka.
Za uređivanje ćemo koristiti uređivač teksta vi, koji je prisutan u skoro svakom UNIX sistem... Za administratore koji još nisu upoznati s urednikom, mogu preporučiti prekrasan članak Maxima Moshkova http://www.lib.ru/unixhelp/vi.txt i http://www.lib.ru/unixhelp/vibegin. poruka.
Postavke mrežnog interfejsa FreeBSD pohranjene su u /etc/rc.conf datoteci. Otvaramo ga za uređivanje:
# vi /etc/rc.conf
I dodajte sljedeće redove:
#Set interni interfejs
ifconfig_xl0 = "inet 192.168.9.2 mrežna maska 255.255.255.0"
# Postavite eksterni interfejs
ifconfig_rl0 = "inet 83.xxx.xxx.xxx mrežna maska 255.255.255.224"
# Postavite zadani gateway provajdera
defaultrouter = "83.xxx.xxx.1"
# Ime hosta
hostname = "ourhost.ourdomain.ru"
# Naznačavamo da će server djelovati kao ruter
gateway_enable = "DA"
Zatim restartujemo računar:
U ovom trenutku, računar nije trebalo ponovo pokrenuti. Ali želimo da budemo sigurni da su naši interfejsi ispravno instalirani i da rade, pa ipak preporučujem ponovno pokretanje.
Nakon učitavanja, provjeravamo:
Izlaz naredbe ifconfig:
rl0: zastavice = 8843 mtu 1500
opcije = 8
inet6 fe80 :: 215: 58ff: fe3e: 8fb1% rl0 prefixlen 64 scopeid 0x1
inet 83.xxx.xxx.xxx mrežna maska 0xffffffe0 emitiranje 83.xxx.xxx.yyy
eter 00: xx: xx: xx: xx: xx
medij: Ethernet automatski odabir (100baseTX)
status: aktivan
xl0: zastavice = 8843 mtu 1500
opcije = 9
inet6 fe80 :: 20a: 5eff: fe62: ade2% xl0 prefixlen 64 scopeid 0x2
inet 192.168.9.2 netmask 0xffffff00 emitiranje 192.168.9.255
etar 00: zz: zz: zz: zz: zz
medij: Ethernet automatski odabir (100baseTX)
status: aktivan
plip0: zastavice = 108810 mtu 1500
lo0: zastave = 8049 mtu 16384
inet6 :: 1 prefikslen 128
inet6 fe80 :: 1% lo0 prefixlen 64 scopeid 0x4
inet 127.0.0.1 mrežna maska 0xff000000
Datoteka rc.conf, po mom mišljenju, može se pozvati ključ fajl konfiguraciju. Veoma veliki broj parametri koje koristi sistem postavljaju se kao odgovarajuće varijable u ovoj datoteci. Uključujući postavke mrežnih interfejsa, firewall-a i NAT-a koje koristimo.
Konfiguriranje gatewaya
Koristićemo izvorni FreeBSD IPFW firewall. Da bismo to učinili, moramo napraviti neke promjene u jezgru sistema. Ako imate dodatnih pitanja o rekompilaciji kernela, savjetujem vam da pročitate dodatni materijal: http://freebsd.org.ru/how-to/kernelconfig.html.
Napomena za korištenje izvorni tekstovi kernela za odgovarajuću arhitekturu. Pošto je arhitektura našeg računara zasnovana na i386 platformi, kernel takođe mora biti kompajliran u skladu sa platformom. Za vlasnike računara na drugim platformama preporučujem upućivanje na relevantnu literaturu.
Izvori kernela se po defaultu nalaze u /usr / src / sys / i386 / conf direktoriju. U skladu s tim, idemo u ovaj direktorij:
# cd / usr / src / sys / i386 / conf
Obično se mijenja GENERIC datoteka koja sadrži zadane opcije kernela. Da biste to učinili, napravite kopiju ove datoteke:
# cp GENERIČKI naš kernel
Otvoreno za uređivanje novi fajl naše jezgro:
i dodajte sljedeće opcije:
#
opcije IPFIREWALL #firewall
opcije IPFIREWALL_VERBOSE?
#enable logging to syslogd (8)
opcije IPFIREWALL_FORWARD?
#omogući transparentnu podršku za proxy
opcije IPFIREWALL_VERBOSE_LIMIT = 100 #ograniči opširnost
options IPFIREWALL_DEFAULT_TO_ACCEPT #dopusti sve po defaultu
#
opcije DUMMYNET
#
opcije IPDIVERT #divert socket
Nakon što izvršite promjene, možete započeti ponovno kompajliranje kernela.
Izvršavamo naredbe:
# konfiguracija našeg kernela
# cd / usr / src / sys / i386 / compile / ourkernel
# učiniti zavisnim
# make
# izvrši instalaciju
Preopterećenje:
Ako nakon ponovnog pokretanja server radi dobro, počnimo s konfiguracijom zaštitnog zida.
Za organizaciju rada zaštitnog zida koriste se sljedeće varijable, koje se po potrebi dodaju u datoteku rc.conf.
Dozvoljava ili odbija upotrebu zaštitnog zida:
# Postavite na DA da biste omogućili funkciju zaštitnog zida
firewall_enable = "NE"
Ime i lokacija datoteke odgovorne za inicijalizaciju zaštitnog zida.
# Koju skriptu pokrenuti za postavljanje zaštitnog zida
firewall_script = "/ etc / rc.firewall"
Prilikom instaliranja ovog pravila u "DA" prikaz je potisnut:
firewall_quiet = "NE"
Omogući/onemogući evidentiranje događaja:
firewall_logging = "NE"
Vrsta konfiguracije zaštitnog zida:
firewall_type = "NEPOZNATO"
po defaultu FreeBSD koristi pravila u datoteci /etc/rc.firewall.
Ima nekoliko gotovih šablona:
otvoren - zaštitni zid dozvoljava prolazak svih paketa.
klijent - preporučuje se za zaštitu samo ovog računara. Odnosno, zaštitni zid je konfigurisan kao standard klijent računar... Dozvoljava sve odlazne veze i odbija sve dolazne veze osim veza na portu 25.
jednostavan - namijenjen za postavljanje jednostavnih gateway-a itd. Odnosno kao jednostavan firewall koji štiti internu mrežu od vanjskih upada. Postavićemo fleksibilniji sistem pravila, dakle dati šablon nećemo koristiti.
zatvoreno - Dozvoli promet na lokalnom sučelju lo0. Ostatak prometa se propušta prema zadanom pravilu. U pravilu se radi o zabrani bilo kakvog pristupa, isključujući interni interfejs lo0 (jednostavno rečeno, dozvoljen je samo pristup "samo sebi")
NEPOZNATO - onemogući učitavanje pravila zaštitnog zida iz zadane konfiguracijske skripte. Zaštitni zid se ni na koji način ne može konfigurirati. Da li će proći saobraćaj ili ne zavisi od konfiguracije kernela sistema. Koristi se po defaultu.
Ista varijabla u vrijednosti "filename" - "filename" - može se koristiti za postavljanje vlastite konfiguracijske datoteke za zaštitni zid.
Na primjer:
firewall_type = "/ etc / rc.firewall.newconfig"
će učitati postavke iz generirane /etc/rc.firewall.newconfig datoteke.
“Firewall_flags =” ”” - služi za prosljeđivanje dodatnih argumenata kada se koristi firewall_type sa vrijednošću imena datoteke.
Naš zadatak je da kreiramo sistem koji ispunjava sledeće kriterijume:
Lakoća administracije.
Izmjena u hodu, nevidljiva korisnicima. Stoga su operacije poput prekida veze i, tim više, ponovnog pokretanja za nas nepoželjne.
Garantovano da će naš sistem raditi na većini mašina.
U našem primjeru skripte, svi računari na lokalnoj mreži podijeljeni su u dvije uslovne grupe: jedna privilegovana grupa su oni kojima je dozvoljen pristup Internetu koristeći najčešće usluge, kao što su:
HTTP- priključak 80;
HTTPS- priključak 443;
FTP- portovi 20, 21 i od 1025 do 65535;
SMTP protokol za prosljeđivanje pošte - port 25;
POP3 protokol za primanje poruka - port 110.
Postoji još jedna grupa, računarima sa kojih je dozvoljen pristup samo eksternim korporativni server sa IP adresom 83.xxx.xxx.2 (samo SMTP protokoli i POP3).
Moramo osigurati da je moguće mijenjati privilegovanu grupu, kako kažu, "u hodu", ako je moguće bez razbijanja uspostavljene veze... Da bismo to učinili, iz naše skripte pozivamo dodatnu skriptu rc.firewall.local.inet. Dovoljno je urediti i ponovo pokrenuti ovu dodatnu skriptu bez utjecaja na sve ostale postavke zaštitnog zida.
Dodatno, moramo predvidjeti situaciju kada se mrežni parametri mijenjaju, kao što je IP adresa gateway-a provajdera. Za ovo ćemo koristiti lokalne varijable u skripti. Na primjer, ako promijenite default gateway, samo trebate promijeniti vrijednost varijable intgateway i ponovo pokrenuti skriptu rc.firewall.run.
Evo našeg uzorka skripte:
# vi rc.firewall.run
#! / bin / sh
extip = "83.xxx.xxx.xxx"
intip = "192.168.9.2"
intnet = "192.168.9.0/24"
mailserver = "83.xxx.xxx.2"
intgateway = "83.xxx.xxx.1"
#
/ sbin / ipfw -f flush &
#
/ sbin / ipfw dodati 180 preusmjeriti natd ip sa $ (intnet) na bilo koji izlaz xmit fxp0
/ sbin / ipfw dodati 190 preusmjeriti natd ip sa bilo kojeg na $ (extip)
# ICMP
/ sbin / ipfw dodati 500 dozvoliti icmp od bilo kojeg do bilo kojeg
# SSH
/ sbin / ipfw dodati 10000 dozvoliti tcp od bilo kojeg do bilo kojeg 22
/ sbin / ipfw dodati 10010 dozvoliti tcp sa bilo kojeg 22 na bilo koji
# DNS
/ sbin / ipfw dodati 11000 dozvoliti tcp od bilo kojeg do bilo kojeg 53
/ sbin / ipfw dodati 11010 dozvoliti tcp sa bilo kojeg 53 na bilo koji
/ sbin / ipfw dodati 11020 dozvoliti udp od bilo kojeg do bilo kojeg 53
/ sbin / ipfw dodati 11030 dozvoliti udp sa bilo kojeg 53 na bilo koji
# Web FTP
/ sbin / ipfw dodati 12000 dozvoliti tcp od mene na bilo koji 20,21,80,443
/ sbin / ipfw dodati 12010 dozvoliti tcp sa bilo kojeg 20,21,80,443 meni
/ sbin / ipfw add 12020 dozvoli udp od mene na bilo koji 20,21
/ sbin / ipfw add 12030 dozvoli udp sa bilo kog 20,21 meni
#
# Skripta za grupu privilegija
/ bin / sh /etc/rc.firewall.local.inet
# Zabrani drugi računar LAN-a
/ sbin / ipfw dodati 12960 deny tcp od $ (intnet) na bilo koje 20,21,80,443
/ sbin / ipfw dodati 12970 deny tcp sa bilo kog 20,21,80,443 na $ (intnet)
/ sbin / ipfw dodati 12980 deny udp od $ (intnet) na bilo koje 20,21
/ sbin / ipfw dodati 12990 deny udp sa bilo kojeg 20.21 na $ (intnet)
#
#
/ sbin / ipfw dodati 13000 dozvoliti tcp od $ (intnet) do $ (mail server) 25,110
/ sbin / ipfw dodati 13010 dozvoliti tcp od $ (mail server) 25,110 do $ (intnet)
#
/ sbin / ipfw dodati 55010 dozvoliti tcp sa bilo kojeg na bilo koji 1024-65534
/ sbin / ipfw dodati 55020 dozvoliti tcp sa bilo kojeg 1024-65534 na bilo koji
/ sbin / ipfw dodati 55030 dozvoliti tcp sa bilo kojeg 1024-65534 na bilo koji
/ sbin / ipfw dodati 55040 dozvoliti tcp sa bilo kojeg na bilo koji 1024-65534
/ sbin / ipfw add 55050 dozvoli udp od bilo kojeg do bilo kojeg 1024-65534
/ sbin / ipfw dodati 55060 dozvoliti udp sa bilo kojeg 1024-65534 na bilo koji
/ sbin / ipfw dodati 55070 dozvoliti udp sa bilo kojeg 1024-65534 na bilo koji
/ sbin / ipfw add 55080 dozvoli udp od bilo kojeg do bilo kojeg 1024-65534
# Deny all
/ sbin / ipfw add 65534 deny ip od bilo kojeg do bilo kojeg
Kreirajte i uredite rc.firewall.local.inet skriptu za rad s privilegovanom adresnom grupom:
# vi / etc / rc.firewall.local.inet
#! / bin / sh
intnet = "192.168.9.0/24"
privgroup = (31.32)
#
/ sbin / ipfw izbrisati 12310
/ sbin / ipfw izbrisati 12320
/ sbin / ipfw izbrisati 12330
/ sbin / ipfw izbrisati 12340
#
/ sbin / ipfw dodati 12310 dozvoliti tcp sa $ (intnet) $ (privgroup) na bilo koji 20,21,80,443,1025-65535
/ sbin / ipfw dodati 12320 dozvoliti tcp sa bilo kojeg 20,21,80,443,1025-65535 na $ (intnet) $ (privgroup)
/ sbin / ipfw dodati 12330 dozvoliti udp od $ (intnet) $ (privgroup) na bilo koji 20,21,1025-65535
/ sbin / ipfw dodati 12340 dozvoliti udp sa bilo kojeg 20,21,1025-65535 na $ (intnet) $ (privgroup)
U skripti za promjenu sastava privilegirane grupe, potrebno je urediti varijablu privgroup dodavanjem / uklanjanjem broja hosta u njoj na lokalnoj podmreži.
Na primjer, da dodate dva računara sa IP adresama 192.168.9.33 i 192.168.9.45, napisali biste “privgroup = (31-33.45)”.
Malo je ružno koristiti pravila poput “/ sbin / ipfw delete NNNNN” pri pokretanju sistema kada nije postojalo takvo pravilo. Prilikom pokušaja brisanja pravila koje ne postoji, sistem prikazuje sljedeću poruku na konzoli:
ipfw: pravilo 13031: setsockopt (IP_FW_DEL): Nevažeći argument
U tom slučaju sistem nastavlja normalno raditi.
Ako sve radite striktno, tada morate kreirati dvije skripte: jednu za pokretanje pri pokretanju, drugu - kada unosite promjene u hodu. Ali tada će biti potrebno izvršiti odgovarajuće izmjene na oba skripta.Pošto je glavni cilj stvaranje sistema koji je lak za administraciju, ovaj problem u našem slučaju se može zanemariti.
Ali sada, nakon što izvršimo odgovarajuće promjene, možemo jednostavno ponovo pokrenuti skriptu za privilegovanu grupu.
# / bin / sh rc.firewall.local.inet
Takođe možemo da izvršimo izmene i ponovo pokrenemo skriptu rc.firewall.run, iako ćemo po dizajnu to morati da radimo mnogo ređe nego u slučaju privilegovane grupne skripte.
# / bin / sh rc.firewall.run
Pošto smo napisali sopstvenu skriptu da poništimo postojeća pravila i pokrenemo alternativnu konfiguraciju zaštitnog zida, moramo razmisliti kako da je pokrenemo.
FreeBSD ima divan mehanizam za pokretanje prilagođeni programi: rc.local fajl. Podrazumevano je odsutan iz sistema.
Pošto već kreiramo ovu datoteku, dodaćemo naredbu za pokretanje natd demona, koji je odgovoran za podršku NAT-a.
Demon natd se pokreće iz rc.conf datoteke. (Opet ovaj fajl, zaista igra ključnu ulogu za ceo FreeBSD sistem u celini!)
Mehanizam za pokretanje ove datoteke iz rc.conf je kroz sljedeće varijable:
# - putanja do same natd datoteke
natd_program = "/ sbin / natd"
# Dozvoli NAT (ako je firewall_enable == DA)
natd_enable = "DA"
# Prednji kraj ili ipaddress za korištenje
natd_interface = ""
# Opcione zastavice za pokretanje natd
natd_flags = ""
Ali u ovom slučaju, koristićemo poziv natd demonu preko rc.local. Tim:
# vi /etc/rc.local
automatski kreira datoteku /etc/rc.local i otvara je za uređivanje.
Dodajte mu sljedeće redove:
# Natd start komanda
/ sbin / natd -n rl0
# gdje je "-n rl0" ime interfejsa na kojem je pokrenut NAT
#
# I pokrenite našu skriptu da postavite pravila zaštitnog zida:
/ bin / sh /etc/rc.firewall.run
Ponovo pokrenite i provjerite pristup pravim resursima Internet sa računara iz lokalne mreže.
1. Evie Nemeth, Garth Snyder, Scott Seabass, Trent R. Hein. UNIX. Menadžment sistem administrator... BHV, Petar, 2004
2. Alexey Fedorchuk, Alexey Torn. FreeBSD. Instalacija, konfiguracija, upotreba. BHV, 2003
3. Philip Torchinsky. Praktični vodič UNIX administrator. "Simbol", 2003
Zdravo. Razmotrimo jedan od načina mrežne postavke za FreeBSD 8 na virtuelnoj mašini. Program se koristi kao emulator virtuelnih mašina Virtuelna kutija instaliran na Windows 8, postavke za Windows 7 su slične, ako je potrebno, usput ćete se orijentirati.
Počinjemo od trenutka kada je FreeBSD već instaliran virtuelna mašina, i sada je vrijeme da postavite mrežu za dalji rad... Podešavanje će se obaviti u tri faze: postavljanje osnovnog OS-a (windows 8), podešavanje Virtuelni programi Box, FreeBSD postavka.
1. Prije svega provjerite da li je zaštitni zid uključen.
Kontrolna tabla> Windows zaštitni zid> Konfiguriši parametre
Podrazumevano, firewall je uključen u sistemu, ako ste ga isključili - toplo se preporučuje da ga uključite. Nakon što omogućite zaštitni zid, ponovo pokrenite računar.
Kontrolna tabla> Windows zaštitni zid> Dozvoljeni programi
Nakon instaliranja programa Virtual Box, virtuelni adapter emulatora bi se trebao pojaviti u "Network Connections".
3. Zapišimo postavke za host virtuelne mašine.
Kontrolna tabla> Mreža i Internet> Mrežne veze> Mreža samo za virtuelni host
Stoga će ovaj host služiti kao gateway za FreeBSD, na koji će mreža biti proslijeđena sa fizičkog adaptera.
4. Konfigurirajte mrežno prosljeđivanje sa fizičkog adaptera na virtuelni (Virtual Box).
Idemo u svojstva fizičkog adaptera, karticu "Pristup". Ovdje morate označiti polje " Dozvolite drugim korisnicima mreže da koriste internet vezu ovaj računar
", Odaberite host Virtual Box ispod.
Sada morate isključiti DHCP server u postavkama Virtual Box-a.
5. Onemogućite DHCP u Virtual Boxu
Ici Virtuelna podešavanja Box, u upravitelju virtuelne mašine, prođite kroz glavni meni Datoteka> Postavke, otvorit će se prozor postavki, idite na karticu "Mreža".
Otvorite mrežne postavke hosta, na kartici "DHCP server" poništite opciju "Omogući server", sačuvajte postavke.
Sada počnimo sa konfigurisanjem mreže u samom FreeBSD-u. Pokrećemo virtuelnu mašinu sa instaliranim FreeBSD sistemom, prijavite se na sistem.
6. Odredite ime FreeBSD mrežnog adaptera.
Unesite naredbu u konzolu:
#ifconfig
Dostupni adapteri će biti prikazani u konzoli. 
Treba nam adapter em0, mi ćemo ga konfigurisati.
7. Postavite parametre za em0 adapter u datoteci "rc.conf".
za uređivanje:
#ee /etc/rc.conf
Postavljamo parametre:
Ifconfig_em0 = "inet 192.168.2.10 netmask 255.255.255.0" defaultrouter = "192.168.2.1" hostname = "localhost"
Pritisnite taster "ESC", pojaviće se meni editora, izaberite "napusti editor", zatim "sačuvaj promene", tako da smo sačuvali promene koje smo napravili. Sada morate registrovati postavke u datoteci resolv.conf
8. Registriramo postavke u datoteci resolv.conf
Otvaramo konfiguracioni fajl :
Ee /etc/resolv.conf
Dodajte redak:
Nameserver 192.168.2.1
Mi čuvamo promjene. Ponovo pokrenite FreeBSD, naredba za ponovno pokretanje:
Nakon ponovnog pokretanja, prijavljujemo se u sistem i pokušavamo to učiniti.
Na primjer:
#ping google.kz
Provjerite radi li mreža. To je sve za sada. Vrijedi to napomenuti ovuda ovo je samo jedna od mnogih opcija mrežne konfiguracije. Na vama je da li vam odgovara.
