|
| Jazyk |
Výber jazykovej mutácie:
|
|
|
|
| The time now is 16.06.2024 - 09:35 |
|
|
|
|
| Author |
Message |
|
|
|
Post subject: Debian Router-Firewall, step by step navod.
 Posted: 17.04.2004 - 19:07 #7669
|
|
Basic
Joined: Nov 28, 2003
Posts: 30
|
|
Debian Router-Firewall, step by step navod.
Na uvod by som chcel povedat, ze k napisaniu nasledovneho ma inspiroval fakt, ze som bol dost nestastny ked som instaloval svoj router-firewall a informacie som musel pracne zliepat z roznych zdrojov. Vtedy som si povadal, ake by bolo pekne, keby niekto napisal polopatisticky navod. Samozrejme, ked som to uz zvladol do pisania sa mi velmi nechcelo, tak asi zareaguje kazdy. Nakoniec som sa premohol a navod ktory by som predtym velmi ocenil som napisal.
Dalej by som chcel odkazat profesionalom v linuxe, aby ma velmi nebili za nepresnosti a mylne nazory ktore sa tu objavia, ja som to napisal tak ako viem (som Linux lama). Mozte ma kludne opravovat, to citatel oceni, ale nie neplodne kritizovat.
1. HW routera
Aky hardware pouzivam a jeho "upravu" som zhrnuj tomto threade:
http://www.skfree.net/index.php?name=PN ... &t=878
Musim este upresnit ze sa jedna o klasicky router s dvoma sietovymi rozhraniami (sietove karty) bez WiFi kariet.
2. Preco Debian
Pre Debian som sa rozhodol preto, lebo k nemu tiahne vacsina skusenych linuxovych sietarov, ktory ocenuju hlavne jeho bezpecnost, jednoduchu aktualizaciu, a taktiez fakt ze ostane free (mnoho velkych distribucii sa nenapadne komercionalizuje). Dufam, ze som vsadil na spravneho kona.
3. Ako nainstalovat Debian
Ja som sa rozhodol pre instalaciu z CD (najpohodlnejsia metoda). Stiahol som si image disku, konkretne
http://debian.sh.cvut.cz/debian-cd/3.0_ ... nary-1.iso
a vypalil to na disk pomocou Nera. V biose som nastavil bootovanie z CD, ale uz tu sa vyskytol prvy problem. Aj ked moj BIOS podporoval bootovanie z CD v skutocnosti sa mi nabootovat nepodarilo. Musel som si pomoct botovacou disketou, ktora je na CDcku v adresary Install a vytvorite ju takto "rawrite2.exe sbm.bin".
Po uspesnom nabootovani z diskety (boot loadera) vyberieme volbu bootovania z CD. Po nabotovani sa ocitneme na prvej obrazovke. Ja som jej nevenoval pozornost a odklepol ENTER co bola zasadna chyba. Stalo ma to 1 den maturovania s nefunkcnymi iptables (nastavenie filtrovacich pravidiel pre Firewall). Netusil som , ze moj cerstvo stiahnuty Debian tam hodi dost stare jadro 2.2.20, pod ktorym to nefunguje. Preto zadajte do prikazoveho riadku bf24 (F3 ponukne blizsie info) cim spustime instalaciu s jadrom 2.4
Dalej navolime jazyk, kodovu stranku klavesnice, aktivujeme swap partition, vadne bloky nekontrolujeme, inicializujeme linux partiton, suborovy system vyberieme napr ext3, dalsie obrazovky ohladne HDD si uz velmi nepamatam, viacmenej som odklepaval predvolene.
Nasleduje dalsi dolezity bod instalacie Configure Device Driver Module. Tu si mozte navolit spravny ovladac sietovej karty alebo ovladace inych zariadeni, ktore nemaju podporu priamo v jadre (doinstalovat sa daju aj neskor, pomocou prikazu "modconf"). Kedze pouzivam klasiku RTL8139, nemusel som nic instalovat, tyka sa to skor exotickejsich sietovych kariet.
Co vsak rozhodne instalovat treba je podpora pre iptables v jadre (potrebne pre Firewall). Vyberte kategoriu "kernel/net/ipv4/netfilter", a spustite instalaciu nasledovnych modulov:
Connection tracking (required for masq/NAT)
IP tables support (required for filtering/masq/NAT)
Connection state match support
Packet filtering
REJECT target support
Full NAT (ak chcete robit preklad adries)
MASQUERADE target support (ak chcete robit preklad adries)
REDIRECT target support (ak chcete robit presmerovania sluzieb)
LOG target support
Zoznam modulov som vycital v prirucke systemoveho spravcu na "http://deja-vix.sk/sysadmin/firewall.html#netfilter", ktoru odporucam ako velmi dobre citanie (este raz velka vdaka Vix).
Dalej nasleduje nastavenie siete. Do host name zadajte nazov vaseho routeru, na otazku o automatickej konfiguracii s DHCP odpovedzte nie, nastavte parametre vonkajsieho rozhrania (toho ktorym ste pripojeny k internetu) vecsinou eth0, IP adresu, masku, DNS, domenu mozete nechat prazdnu. Nasleduju dalsie voľby instalacie systemu, botovaci system, lilo, vacsinou len odklepavame ENTERom.
Po restarte nastavime casovu zonu, na otazky ohladne md5 password len odklepneme ENTER (ani neviem co to znamena).
Na otazku ohladne PPP pripojenia odpovieme nie. Potom nasleduju otazky ohladne instalacie a aktualizacie systemu, mozete vybrat odkial sa budu stahovat aktualizacie, nastavit miror trebars na Czech, vybrat prislusnu URL adresu, na otazku o security update odpovadajte ano ak chcete mat system aktualny a bezpecny.
Potom nasleduje otazka o spustany "tasksel", v nom sa daju vybrat rezimy nasadenia (desktop, server atd.) kludne odpovedzte nie nech nic neinstaluje, doinstalujete si neskor co budete potrebovat. Podobna je nasledujuca volba "dselect" tu sa daju uz vyberat konkretne baliky pre instalaciu, taktiez odpovedzte nie.
Na otazku Configure Your locales zapnite volbu CZ alebo SK, a potom ju vyberte. Na otazky o SSH som odpovedal ako bolo prednastavene pretoze tomu velmi nerozumiem, viem len ze to je na dialkovu spravu.
Potom je tam otazka a zmazani starych .deb balikov odklepnite enter akoze Yes.
Potom je tam obrazovka s konfiguraciou s volbami 1-5, zadajte 5 nekonfigurovat. Potom je tam podakovanie za instalaciu a to by bolo asi tak vsetko.
Po nainstalovani Debianu som si este doinstaloval Midnight Commander (Norton v Linuxe), pretoze som odkojeny na dose a ked nemam Norton akoby som nemal jednu ruku 
"apt-get install mc"
4. Ako spojazdnit Router
Najprv som si v subore "/etc/network/interfaces" doplnil parametre vnutorneho sietoveho rozhrania eth1. Skopirujte riadky z eth0 (to sme nastavili pri instalacii), zmente IP adresy,masku, a vyhodte riadok gateway, tu musi mat nastavenu len vonkajsie rozhranie smerujuce do internetu. Myslim ze DNS tam moze ostat.
Zapneme podporu routovania v systeme. V subere "/etc/network/options" prepiseme
"ip_forward=no" na "ip_forward=yes"
Restartujeme sietovu konfiguraciu:
"/etc/init.d/networking stop"
"/etc/init.d/networking start"
V tejto chvili by nam router uz mal routovat medzi rozhraniami. No pokial mate na vnutornom rozhrani IP adresy z privatneho rozsahu (co je skoro iste) nusime este zapnut NAT maskaradu:
"iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE"
( eth0 je u mna vonkajsie rozhranie)
V tejto chvili by nam to uz malo vsetko spravne fungovat, a mali by ste sa dostat z vnutornej siete na internet. Mohli by sme sa uz vytesovat ako nam to pekne ide, ale nemozme to takto nechat, pretoze sme uplne nechraneny voci vonkajsiemu svetu, potrebujeme sa chranit a na to sluzi firewall.
4. Ako spojazdnit Firewall
V prvom rade musim este raz odkazat va Vixovu prirucku systemoveho administratora kapitolu o firewalloch kde sa dozviete skoro vsetko:
"http://deja-vix.sk/sysadmin/firewall.html#netfilter"
Najprv si musime nastavit pravidla filtrovania. Mozete to urobit rucne alebo pouzijete existujuci skript od sikovnejsieho kolegu. Ja som pouzil Vixov skript (vdaka Vix) ktory nejdete tu:
http://deja-vix.sk/sysadmin/export/vix- ... l-iptables
Otvorte ho editorom a zmente si parametre sietovych rozhrani eth1 a eth0. Nic ine menit netreba.
Takze spustime Vixov skript: "./vix-firewall-iptables start"
Ten nam nastavil pravidla filtrovania. Tieto vsak musime ulozit aby sa nam po resete nestratili:
"/etc/init.d/iptables save active"
Posledna vec ktoru musime urobit je zabespecit spustanie iptables po starte systemu, co urobime nasledovne:
"dpkg-reconfigure iptables" a na otazku odpovedat YES.
Teraz mozme restartovat PC, nie ze by to bolo potrebne ale aby sme si overili ci vsetko bude fungovat aj po restarte. Aktualne nastavene pravidla si mozme skontrolovat prikazom
"iptables -nL" alebo "iptables -nvL"
Tot vsjo.
5. Ako utisit HDD - nech to doma nehrkoce
Po spojazdneni Routeru som stal pred dalsim problemom. Router mam v obyvacke a dost ma znervoznovali jeho zvukove prejavy (hvizdanie roztacajuceho sa disku). Bol som zvyknuty na disketovy router pod FREESCO ktory bol upne ticho. Uspavanie mam nastavene v BIOSe a nieje s tym ziadny problem, problemom bolo caste roztacanie. Poriesil som to nasledovne.
Najprv som zistil, ze po starte sa spustaju nasledovne demony:
sysklogd
klogd
inetd
atd
cron
Zistil som, ze najvacsiu neplechu robi demon cron, ale aj tak som ich pre istotu zrusil vsetky
Najprv som zastavil sluzby:
"/etc/init.d/sysklogd stop"
"/etc/init.d/klogd stop"
"/etc/init.d/inetd stop"
"/etc/init.d/atd stop"
"/etc/init.d/cron stop"
Nasledne som premenoval subory demonov na "stary_nazov.off"
cd /etc/init.d
"mv sysklogd sysklogd.off"
"mv klogd klogd.off"
"mv inetd inetd.off"
"mv atd atdd.off"
"mv cron cron.off"
Tym som dosiahol, ze sa uz uvedene demony po restate nespustia (simlinky ich nenajdu).
Ked budem chciet niektoru zo sluzieb spustit premenujem subor naspat.
Riesenie je to dost "svojske", pretoze logovat treba. Inetd mi nechyba pretoze nepotrebujem ziadne internetove sluzby, cron a atd asi tiez nie, pretoze nespustan ziadne prikazy v stanoveny cas. Do buducna asi budem musiet spojazdnit RAMdisk a logovat do neho, a obcasny zapis z RAMdisku na HDD budem musiet strpiet.
Majte sa, Sanco |
Last edited by sanco on 05.05.2004 - 23:23; edited 1 time in total
|
| |
|
|
|
 |
|
|
|
Post subject: RE: Debian Router-Firewall, step by step navod.
Posted: 17.04.2004 - 20:11 #7671
|
|
Majster
Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
|
|
| no konecne tu niekto napisal co ma naozaj zmysel. ja by som to videl aj na samostatny clanok;o) |
|
|
| |
|
|
|
|
|
|
|
Post subject: zverejnenie
Posted: 17.04.2004 - 21:02 #7677
|
|
Site Admin
Joined: Mar 30, 2003
Posts: 272
|
|
stalo sa.
clanok sme (a radi) zverejnili.
Viem, ze kopec z Vas nema na pisanie niecoho cas ani chut (niekedy aj pocit ze ani znalosti), ale ide o to, ze ked si dam tu namahu a postup spisem, usetrite tym casto opakovanu namahu nielen inym, ale casto aj sebe.
bodaj by takychto clankov bolo len a len viac
Mgx |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Debian Router-Firewall, step by step navod.
Posted: 17.04.2004 - 22:19 #7693
|
|
Basic
Joined: Nov 28, 2003
Posts: 30
|
|
| to mgx: Ta poznamka o usetreni prace aj sebe bola velmi trefna, pretoze som si povodne chcel spisat taky strucny popis len pre seba, ale nakoniec som sa rozhodol ze to spisem komplet, a dam to k dispozcii aj ostatnym. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Debian Router-Firewall, step by step navod.
Posted: 18.04.2004 - 16:26 #7720
|
|
Basic
Joined: Okt 12, 2003
Posts: 354
|
|
| este doporucujem namiesto ext2/3 zvolit suborovy system raiserfs... je zurnalovaci a casto sa mi stava ze ked nepotrebujem routovat (doma) tak pocitac jednoducho vypnem (vsetky pc su vypnute a pri routri klavesnicu a monitor nemam) a raiserfs sa lepsie spametava z tychto "destruktivnych" vypnuti... a navyse bez zasahu uzivatela... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Debian Router-Firewall, step by step navod.
Posted: 18.04.2004 - 16:38 #7722
|
|
Basic
Joined: Nov 28, 2003
Posts: 30
|
|
| No neviem , ale kdesi som cital ze tento suborovy system sam o sebe vykonava nejake diskove operacie a tudis disk sa zbytocne casto rozbieha (zo spacieho rezimu). Ja som moj disk naposledy pocul predvcerom ked som startoval system |
|
|
| |
|
|
|
|
|
|
|
All times are GMT
|
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits |
|
|
|
