[ на главную ]

Шлюз в internet для небольшой LAN

Евгений Борисов

воскресенье, 27 февраля 2005 г.

1 Постановка задачи

Организовать шлюз в internet для небольшой сети.

2 Решение

2.1 Программное обеспечение и аппаратура

Первое что необходимо сделать это выбрать программное обеспечение и аппаратуру. В качестве основного ПО будем использовать средства OS FreeBSD [ 1 ]. Из оборудования для шлюза, кроме собственно компьютера, понадобится: модем (лучше внешний) и сетевая карта.

2.2 dialup

Для подключения к internet через модем обычно используют одну из двух программ ppp или pppd .

2.2.1 вариант I: ppp

Пример файла настроек /etc/ppp/ppp.conf .

Для подключения достаточно выполнить команду ppp (правами на использование этой программы в системе обладает группа network ).

2.2.2 вариант II: pppd

Для работы pppd необходимо включить в конфигурацию ядра опцию pseudo-device ppp 1 .

Пример настроек:

  1. основной конфигурационный файл /etc/ppp/options .

  2. скрипт установления соединения /etc/ppp/dial.sh .

  3. файл паролей /etc/ppp/pap-secrets .

  4. Для подключения к internet достаточно выполнить команду pppd (правами на использование этой программы в системе обладает группа dialer ). Для автоматического запуска демона pppd можно положить в /usr/local/etc/rc.d/ скрипт pppd.sh

Далее настроим фильтр сетевых пакетов (firewall).

2.3 Сетевая безопасность

2.3.1 общие рекомендации по сетевой безопасности

Основной принцип [ 2 ] - ''сервера это двери''.
Посмотреть список ''открытых дверей'' можно с помощью : 

netstat -na | grep LISTEN

Все что ''слушает'' сеть ( ftpd, inetd, sendmail etc.) должно быть, по возможности, отключено, локализовано или спрятано за firewall.

2.3.2 установка firewall

firewall это фильтр сетевых пакетов, который пропускает или отбрасывает пакеты согласно системе правил в файле конфигурации. Необходимо включить в ядро следующие параметры: 

 
options    IPFIREWALL
options    IPFIREWALL_VERBOSE
options    IPFIREWALL_VERBOSE_LIMIT=100

Чтобы включить межсетевой экран, в файл /etc/rc.conf добавим : 

 
firewall_enable="YES"
firewall_type="simple"
firewall_quiet="YES"

Далее поместим правила фильтрации пакетов [ 5 ] в /etc/rc.firewall
интерфейсы: внешний (модем) - tun0 , внутренний (сетевая карта) - vx0
DNS провайдера: 195.5.27.244, 195.5.6.10

2.3.3 тестирование

Чтобы проверить безопасность сети, вы можете просканировать её извне, например при помощи Sygate Online Services [ 6 ]. Попробуйте сканирование как со шлюзовой машины, так и с других машин вашей сети.

Описанных в настроек достаточно чтобы успешно соединятся с internet . Далее настроим собственно шлюз, рассмотрим механизм преобразования сетевых адресов (nat) и кеширующий прокси (squid).

2.4 Шлюз

Доступ в internet для других машин в сети можно организовать по разному, далее рассмотрим два варианта - nat и squid.

2.4.1 вариант I: преобразования сетевых адресов - nat

Первый вариант организации работы это шлюз сетевого уровня. Для этого необходимо включить маршрутизацию (gateway) и механизм преобразования сетевых адресов (nat), чтобы все узлы могли ходить в сеть используя один ip, выданный провайдером при соединении.

Этот вариант относительно прост и нетребователен к ресурсам машины, в такой конфигурации система может успешно работать даже на компьютере с 486 процессором.

Для успешного функционирования шлюза, ip-адреса в LAN должны иметь вид 192.168.x.x .

  1. Необходимо включить в ядро параметр options IPDIVERT .
  2. Чтобы включить шлюз добавим в файл /etc/rc.conf : 
     
gateway_enable=''YES''
natd_enable=''YES''
natd_interface=''tun0''
natd_flags=''-dynamic''
  3. Если уже используется встроенный в ppp nat , то нужно его выключить, так как здесь используется natd ; проверим что файл /etc/ppp/ppp.conf НЕ содержит : 
    nat enable yes
    а файл /etc/rc.conf НЕ содержит: 
    ppp_nat="YES"
  4. в файл конфигурации fierwall /etc/rc.firewall перед правилами фильтрации пакетов, надо вставить строку: 
    $fwcmd add divert natd all from any to any via tun0

  5. Последний шаг - на всех машинах в LAN добавим шлюз по умолчанию - локальный ip-адрес данного узла с FreeBSD и DNS - DNS провайдера. Его можно узнать так : запустим ppp , после соединения скажем 
    PPP ON node2> show ipcp

2.4.2 вариант II: кеширующий прокси - squid

Второй вариант организации работы это шлюз уровня приложений. Для этого нам понадобится т.н. кеширующий прокси сервер - squid[ 7 ]. Использование этого варианта дает нам достаточно мощный и гибкий инструмент для управления доступом пользователей в internet . К примеру, можно делить пользователей на группы, предоставляя каждой группе доступ только к нужным ей ресурсам, отсекать рекламные банеры и доступ к нежелательным сайтам.

2.4.2.1 устанавливаем и настраиваем squid

  1. качаем, собираем и устанавливаем порт squid 
       cd /usr/ports/www/squid && make all install clean

  2. настройка /usr/local/etc/squid/squid.conf

  3. инициализировать кеш: 
    squid -z

  4. если до этого использовался nat
    то его и маршрутизацию можно выключить

    изменить /etc/rc.conf : 

    gateway_enable="NO"
natd_enable="NO"

    из /etc/rc.firewall убрать строку: 

    $fwcmd add divert natd all from any to any via tun0

  5. запуск squid вручную 
    /usr/local/etc/rc.d/squid.sh start

  6. для автоматического запуска squid поместить в /etc/rc.conf : 
    squid_enable="YES"

  7. Последний шаг - в настройках браузера на всех машинах устанавливаем прокси - имя данного узла с FreeBSD, порт 3128.

2.4.2.2 эффективная фильтрация трафика - squidGuard

  1. качаем, собираем и устанавливаем порт squidGuard 
       cd /usr/ports/www/squidGuard && make all install clean

  2. настройка /usr/local/etc/squid/squidGuard.conf

  3. проверяем права, по умолчанию процесс работает от squid:squid 
       chown -R squid:squid /var/db/squidGuard
   chown  squid:squid /var/log/squidGuard.log
   chown  squid:squid /usr/local/squid/log/squidGuard.log

  4. проверка работы фильтра squidGuard : 
       $ echo "http://www.sex.com - - GET"| squidGuard
   http://www.univ.kiev.ua -/- - GET

  5. добавить в /usr/local/etc/squid/squid.conf программу-фильтр: 
    # использовать фильтр squidGuard
redirect_program  /usr/local/bin/squidGuard
# сколько экземрляров squidGuard запускать
redirect_children 2 
# работать только через squidGuard 
redirector_bypass off

  6. перезапуск squid : 
    /usr/local/etc/rc.d/squid.sh stop
/usr/local/etc/rc.d/squid.sh start

  7. обновление баз для squidGuard можно скачивать отсюда [ 8 ] 

    # распаковываем обновления
cp blacklists.tar.gz /tmp && /tmp && tar -zxvf blacklists.tar.gz

# будем обновлять базу porno
cd /var/db/squidGuard/porno

# обновляем список доменов
cat /tmp/blacklists/porno/domains domains | sort | uniq > domains.1 
mv domains.1 domains

# обновляем список ссылок
cat /tmp/blacklists/porno/urls urls | sort | uniq > urls.1 
mv urls.1 urls

# обновляем regexp'ы 
cat /tmp/blacklists/porno/expressions expressions | sort | uniq > expressions.1 
mv expressions.1 expressions

# устанавливаем доступ к файлам
chmod 750 domains urls expressions

# генерируем базы
cd .. ; squidGuard -C all

# устанавливаем права
chown -R squid:squid *

    после обновления баз надо перезапустить squid

Литература

1
FreeBSD - http://www.freebsd.org

2
Introduction to security under FreeBSD - man 7 security

3
М.Мошков ''Безопасность для интернет-дачников'' - http://lib.ru

4
Jan Stumpel ''Шокирующая уязвимость домашних сетей''
http://linux.zp.ua/doc/ru/gazette.linux.ru.net/lg65/articles/rus-stumpel.html

5
Marc Silver ''Dialup firewalling with FreeBSD''
http://www.freebsd.org/doc/en_US.ISO8859-1/articles/dialup-firewall/index.html

6
Sygate Online Services - http://scan.sygatetech.com

7
Squid Web Proxy Cache - http://www.squid-cache.org

8
squidGuard blacklists - ftp://ftp.teledanmark.no/pub/www/proxy/squidGuard/contrib/blacklists.tar.gz


Evgeny S. Borisov
2005-02-27
При использовании материалов этого сайта, пожалуйста вставляйте в свой текст ссылку на мою статью.