Cómo escribir rutas para el enrutador freebsd manualmente. Configuración de un enrutador FreeBSD

Echemos un vistazo a lo que todo esto significa:

em0 y em1- nombres de interfaz de red
indicador UP: significa que la tarjeta de red está habilitada, si este indicador no está configurado, entonces los paquetes no se recibirán en esta interfaz (para habilitar, use el comando: ifconfig INTERFACE_NAME up)
ether es la dirección mac de esta tarjeta de red
inet: dirección IP asignada para esta interfaz y dirección de transmisión para esta subred
medios de comunicación- información sobre la velocidad y el dúplex de la interfaz
status es el estado actual de la interfaz. Si el estado: sin operador, significa que no hay enlace en la tarjeta de red.

Guardemos la configuración para que las direcciones IP se asignen a las interfaces después de reiniciar el servidor, para esto debe agregar las siguientes líneas al archivo /etc/rc.conf:

ifconfig_em0="inet 192.168.1.1 máscara de red 255.255.255.0"
ifconfig_em1="inet 192.168.0.1 máscara de red 255.255.255.0"

Si usa un firewall en el servidor, por ejemplo, ipfw, agregue reglas que permitan que los paquetes pasen de una red a otra:

ipfw agregar 100 permitir ip de 192.168.1.1/24 a 192.168.0.1/24
ipfw agregar 110 permitir ip de 192.168.1.0/24 a 192.168.1.1/24

Ahora configure los equipos cliente:

• Configure la dirección IP de la subred deseada: 192.168.1.XXX o 192.168.0.XXX
• Establezca la máscara de subred en 255.255.255.0
• Configure la puerta de enlace predeterminada: para la subred 192.168.1.XXX es 192.168.1.1 y para la subred 192.168.0.XXX es 192.168.0.1 (estas son las direcciones IP en las interfaces de nuestro servidor FreeBSD)

Es hora de verificar si hay una conexión entre el servidor y los clientes. Para hacer esto, tomemos una computadora cliente en funcionamiento conocida de 2 redes, por ejemplo, estas serán computadoras con direcciones IP:

• 192.168.1.11
• 192.168.0.15

Usemos la utilidad de ping en el servidor:

# ping 192.168.1.11

Si el resultado es así:

PING 192.168.1.11 (192.168.1.11): 56 bytes de datos
64 bytes de 192.168.1.11: icmp_seq=0 ttl=64 tiempo=0,466 ms
64 bytes de 192.168.1.11: icmp_seq=1 ttl=64 tiempo=0,238 ms
64 bytes de 192.168.1.11: icmp_seq=2 ttl=64 tiempo=0,272 ms
^C
— 192.168.1.11 estadísticas de ping —
3 paquetes transmitidos, 3 paquetes recibidos, 0,0 % de pérdida de paquetes
min/avg/max/stddev de ida y vuelta = 0,238/0,325/0,466/0,100 ms

Entonces todo está bien y hay una conexión entre el servidor y el cliente. Haz lo mismo con 192.168.0.15.

Si el resultado del ping es negativo, asegúrese de que la dirección IP y la máscara de subred estén configuradas correctamente en la computadora del cliente, así como la presencia de un enlace en la tarjeta de red.

Ahora puede intentar verificar la conexión entre las computadoras cliente de diferentes subredes.

También utilizaremos la utilidad ping, pero ya en un ordenador con dirección IP 192.168.1.11:

ping 192.168.0.15

Si hay una respuesta, entonces hay una conexión entre computadoras de diferentes subredes.

Si no hay respuesta, usaremos la utilidad tracert (para Windows) o traceroute (para FreeBSD):

tracert 192.168.0.15

Si las estrellas se van enseguida:

1 * * *

Luego verifique la configuración correcta de la puerta de enlace predeterminada.

Si la ruta se ve así:

1 192.168.1.1 (192.168.1.1) 0,421 ms 0,447 ms 0,485 ms
2 * * *

Luego el paquete llega al servidor, asegúrese de que el firewall del servidor no bloquee los paquetes y que la computadora cliente con la dirección IP 192.168.0.15 esté configurada correctamente y "vea" el servidor (verifique la dirección IP, máscara de subred, puerta de enlace predeterminada y la presencia de ping al servidor)

¿Has revisado todo, pero todavía nada funciona? Usemos la utilidad tcpdump en el servidor, que mostrará los paquetes que pasan a través de las interfaces del servidor:

y

Inicie un ping desde una computadora cliente en una subred a otra computadora cliente en una subred diferente (como hicimos en los ejemplos anteriores) y observe el resultado del comando tcpdump en el servidor, que será algo como esto:

# tcpdump -ni em0

12:17:23.398376 IP 192.168.1.11 > 192.168.0.15: solicitud de eco ICMP, id 49222, seq 0, longitud 64
12:17:24.399906 IP 192.168.1.11 > 192.168.0.15: solicitud de eco ICMP, id 49222, seq 1, longitud 64

Aquellos. la computadora 192.168.1.11 envía un paquete de solicitud de eco ICMP a la computadora 192.168.0.15, pero no vemos ninguna respuesta. Vea si el servidor envía estos paquetes a otra tarjeta de red:

# tcpdump -ni em1

12:21:18.167017 IP 192.168.1.11 >
12:21:19.168022 IP 192.168.1.11 > 192.168.0.15: solicitud de eco ICMP, id 50246, sec 5, longitud 64

Vemos que las solicitudes se transmiten a otra interfaz de servidor, pero todavía no hay respuestas. Verifique la configuración 192.168.0.15 de su computadora y vea si tiene algún problema de conectividad de red física.

Cuando todo funcione, la salida será así:

12:21:17.165998 IP 192.168.1.11 > 192.168.0.15: solicitud de eco ICMP, id 50246, sec 3, longitud 64
12:21:17.171199 IP 192.168.0.15 > 192.168.1.11: respuesta de eco ICMP, id 50246, seq 3, longitud 64
12:21:18.167017 IP 192.168.1.11 > 192.168.0.15: solicitud de eco ICMP, id 50246, sec 4, longitud 64
12:21:18.171353 IP 192.168.0.15 > 192.168.1.11: respuesta de eco ICMP, id 50246, sec 4, longitud 64

Vemos la salida de solicitud-respuesta estándar cuando un paquete de solicitud de eco ICMP recibe una respuesta en forma de paquete de respuesta de eco ICMP

Introducción == Brevemente, me gustaría lanzar un plan que se debe seguir para que el curso en Internet para la oficina sea correcto y nadie sea barrido. Observo de inmediato que una puerta de enlace en Unix no es un programa, sino una docena de programas, cada uno de los cuales realiza su propia acción y tiene su propia configuración. Usamos: * FreeBSD 7 * natd * named, routed * ipfw * squid * squidGuard * apache * dhcpd Mi servidor de prueba ya está dentro de la red local, así que creo que mi red externa es 192.168.- 172.16.0.0/16. Los números, al final, no importan, lo principal es el significado. Instalé FreeBSD como mínimo y mi rc.conf solo contiene: hostname="vm=freepro.local" ifconfig_em0="DHCP" linux_enable="SÍ" sshd_enable="SÍ"== Configurando NAT == Mi interfaz externa - em0 - por defecto recibe su dirección IP a través de DHCP desde un enrutador regular con una dirección de 192.168.1.1. Obviamente, el mismo enrutador actúa como servidor DNS. En el primer paso, hago NAT (¡siempre en la interfaz externa!) y modifico el archivo /etc/rc.conf de esta manera: hostname="vm=freepro.local" defaultrouter="192.168.1.1" ifconfig_em0="inet 192.168.1.10 máscara de red 255.255.255.0" linux_enable="SÍ" sshd_enable="SÍ" # Internet Gateway ifconfig_em1="inet 172.16.0.1 máscara de red 255.255 .0.0" gateway_enable="YES" natd_enable="YES" natd_interface="em0" #natd_flags="-f /etc/redirect.conf" firewall_enable="YES" firewall_type="open" #firewall_script="/etc/firewall . conf" router_enable="SÍ" router="/sbin/routed" router_flags="-q" Arreglé la dirección externa y configuré la interna. Ahora arreglemos el DNS en el archivo /etc/resolv.conf: servidor de nombres 192.168.1.1 ¡Eso es todo! Iniciando el servicio: # /etc/rc.d/inicio ipfw # /etc/rc.d/inicio natd # /etc/rc.d/inicio enrutado # /etc/rc.d/inicio con nombre¡Y el Internet funciona! Por supuesto, prescribimos al cliente con nuestras manos: IP: 172.16.0.2 MÁSCARA: 255.255.0.0 PUERTA: 172.16.0.1 DNS1: 192.168.1.1 Por supuesto, esta es una puerta de entrada muy mala. En primer lugar, no está protegido en absoluto, en segundo lugar, no se almacena en caché en absoluto, en tercer lugar, redirige todas las solicitudes de DNS "hacia arriba", bueno, carece por completo de la capacidad de recibir estadísticas y administrar cualquier cosa. Pero, por otro lado, esta es una puerta de enlace muy liviana y rápida, y desde configuraciones adicionales, su rendimiento solo aumentará, no disminuirá. Por cierto, tenga en cuenta que dos líneas ya están comentadas en el nuevo rc.conf. El primer comentario: me ayudará en el futuro a "reenviar" algunos puertos fuera, dentro de la red. Aquellos. por ejemplo, si quiero obtener acceso ssh a la computadora cliente 172.16.0.2, tendré que crear el siguiente archivo: # ARCHIVO /etc/redirect.conf redirect_port tcp 172.16.0.2:22 2222 Esto significa que cuando me conecte al servidor externo en el puerto 2222, accederé a la máquina en la red local exactamente en el puerto 22 (ssh). El segundo comentario es la configuración de mi cortafuegos personal, perfeccionada y probada. == Configuración de ipfw == Mi configuración para ipfw en esta etapa se ve así: #!/bin/sh # Configuración de IPFW para servidor NAT simple /etc/firewall.conf cmd="/sbin/ipfw -q" IfOut="em0" IpOut="192.168.1.10" NetOut="192.168.1.0/24 " IfIn="em1" IpIn="172.16.0.1" NetIn="172.16.0.0/16" ########################### # ##################### # Claro ########################### ####################### $(cmd) -f flush $(cmd) mesa 0 flush $(cmd) mesa 1 flush ##### ######################################### # Lista blanca / Lista negra # # ############################################$ (comando ) tabla 0 añadir 172.16.0.12 $(cmd) tabla 1 añadir 172.16.0.13 ############################## ## ################ # Bucle invertido ########################## ### ################## $(cmd) agregar permitir ip de cualquier a cualquier vía lo0 ################ ### ############################# # Bloquear mundo a privado ############ ## #################################### $(cmd) agregar deny ip from any to 127.0 . 0.0/8 $(cmd) agregue la IP denegada de 127.0.0.0/8 a cualquier #$(cmd) agregue la IP denegada de 172.16.0.0/16 a cualquier vía $(IfOut) #$(cmd) agregue d eny ip from 192.168.1.0/24 to any via $(IfOut) $(cmd) add deny ip from any to 10.0.0.0/8 via $(IfOut) #$(cmd) add deny ip from any to 172.16.0.0/ 12 a través de $(IfOut) #$(cmd) agregue la IP denegada de cualquiera a 192.168.0.0/16 a través de $(IfOut) $(cmd) agregue la IP denegada de cualquiera a 0.0.0.0/8 a través de $(IfOut) $(cmd) ) agregue la IP denegada de cualquiera a 169.254.0.0/16 a través de $(IfOut) $(cmd) agregue la IP denegada de cualquiera a 192.0.2.0/24 a través de $(IfOut) $(cmd) agregue la IP denegada de cualquiera a 224.0.0.0 /4 a través de $(IfOut) $(cmd) agregar IP denegada desde cualquiera a 240.0.0.0/4 a través de $(IfOut) ###################### ######################### # ICMP ##################### ############################ $(cmd) agregar denegar icmp desde cualquiera a cualquier fragmento $(cmd) agregar denegar registro icmp desde cualquiera a 255.255.255.255 a través de $(IfOut) $(cmd) agregar deny log icmp de cualquiera a 255.255.255.255 a través de $(IfOut) ################### ############################# # NAT ################# ################################# $(cmd) agregar desvío 8668 ip desde $(NetIn) a cualquier vía $ (IfOut) $(cmd) agregar desviar 8668 ip de cualquiera a $ (IpOut) vía $(IfOut) #$(cmd) agregar desvío 8668 ip de cualquier a cualquiera vía $(IfOut) ######################## ######################### # Bloquear privado al mundo ################### # ############################## $(cmd) agregar deny ip desde 10.0.0.0/8 a cualquier via $ (IfOut ) #$(cmd) agregue la IP denegada de 172.16.0.0/12 a cualquier vía $(IfOut) #$(cmd) agregue la IP denegada de 192.168.0.0/16 a cualquier vía $(IfOut) $(cmd) agregue denegar ip desde 0.0.0.0/8 a cualquier vía $(IfOut) $(cmd) agregar denegar ip desde 169.254.0.0/16 a cualquier vía $(IfOut) $(cmd) agregar denegar ip desde 192. 0.2.0/24 a cualquier vía $(IfOut) $(cmd) agregar denegar ip de 224.0.0.0/4 a cualquier vía $(IfOut) $(cmd) agregar denegar ip de 240.0.0.0/4 a cualquier vía $( Si fuera) ############################################# ## # Lista blanca ########################################## #### $(cmd) agregar permitir todo desde "tabla(0)" a cualquier $(cmd) agregar permitir todo desde cualquier a "tabla(0)" ############## ################################## # Lista negra ############ # ##################################### $(cmd) agregar negar todo desde "table (1 )" a cualquier ######################################### ## #### # Mantener establecido ###################################### ## ####### $(cmd) agregar permitir tcp de cualquiera a mí establecido ############################ # ################## # Principal ########################### # #################### $(cmd) agregar permitir ip de cualquiera a cualquier fragmento $(cmd) agregar permitir icmp de cualquiera a $(IpOut) icmptypes 0 , 8,11 # dns $(cmd) agregar permitir tcp de cualquier a $(IpOut) dst-port 53 setup $(cmd) agregar permitir udp de cualquiera a $(IpOut) dst-port 53 $ (cmd) agregar permitir udp desde $(IpOut) 53 a cualquier $(cmd) agregar permitir udp desde $(IpOut) a cualquier dst-port 53 keep-state # dns-client $(cmd) agregar permitir tcp desde cualquier a $ (NetIn) dst-port 53 configuración $(cmd) agregar permitir udp desde cualquier a $(NetIn) dst-port 53 $(cmd) agregar permitir udp desde $(NetIn) 53 a cualquier $(cmd) agregar permitir udp desde $ (NetIn) a cualquier puerto dst 53 keep-state # time $(cmd) agregue allow udp desde $(IpOut) a cualquier dst-port 123 keep-state # time-client $(cmd) agregue allow udp desde $(NetIn ) a cualquier puerto dst 123 keep-state # ssh-in $(cmd) agregar permitir tcp desde cualquier a $(IpOut) 22 $(cmd) agregar permitir tcp desde $(IpOut) 22 a cualquier # ssh-out $( cmd) agregar permitir tcp desde $(IpOut) a cualquier 22 $(cmd) agregar permitir tcp desde cualquier 22 a $(IpOut) # http $(cmd) agregar permitir tcp desde $(IpOut) a cualquier puerto dst 80 # http -cliente $(cmd) agregar permitir tcp desde $(NetIn) a cualquier dst-port 80 $(cmd) agregar permitir tcp desde cualquier 80 a $(NetIn) # smtp $(cmd) agregar permitir tcp desde cualquiera a $(IpOut ) dst-port 25 setup # forward 8080 to 81 $(cmd) add allow tcp from any to $(IpOut ) dst-port 8080 $(cmd) agregar permitir tcp desde $(IpOut) 8080 a cualquier $(cmd) agregar permitir tcp desde cualquiera a $(NetIn) dst-port 81 $(cmd) agregar permitir tcp desde $(NetIn) 81 a cualquier # salida $(cmd) agregar deny log tcp de cualquiera a cualquier entrada a través de la configuración de $(IfOut) #$(cmd) agregar permitir tcp de cualquiera a cualquier configuración ############# ##################################### # Red local ########## # ###################################### $(cmd) agregar permitir todo desde cualquiera a cualquiera vía $(IfIn) ######################################## ## ###### # Denegar todo #################################### ## ######### $(cmd) agregar denegar todo de cualquiera a cualquier Comenté específicamente algunas líneas que eliminan paquetes de las redes locales 192, 172 en la interfaz externa, ya que mi interfaz externa es la local. En realidad, estas líneas son necesarias. Vayamos más lejos. == Configuración de squid == Ahora necesito squid, un servidor proxy de almacenamiento en caché capaz de distribuir Internet de manera competente a todos los usuarios de acuerdo con las reglas que establece el administrador del sistema. pkg_add -r squid Nota: por supuesto, la opción más correcta es compilar software a partir de puertos nuevos y actualizados, pero ahorramos tiempo, por lo que instalamos paquetes. Algún día después actualizaremos con portupgrade. Para squid, hacemos la configuración más simple: edite el archivo /usr/local/etc/squid/squid.conf # Configuración mínima SQUID acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl localnet src 172.16.0.0/255.25 port4 SSL_3.0 acl CONNECT método CONECTAR http_access permitir administrador localhost http_access permitir localnet http_access denegar administrador http_access denegar !Safe_ports http_access denegar CONECTAR !SSL_ports http_access denegar todo icp_access permitir todo http_port 3128 transparente jerarquía_stoplist cgi-bin ? acl CONSULTA urlpath_regex cgi-bin \? caché denegar CONSULTA cache_dir ufs /usr/local/squid/cache 100 16 256 access_log /usr/local/squid/logs/access.log squid cache_log /usr/local/squid/logs/cache.log cache_store_log /usr/local/squid /logs/store.log actualizar_patrón ^ftp: 1440 20% 10080 actualizar_patrón ^gopher: 1440 0% 1440 actualizar_patrón. 0 20% 4320 acl apache rep_header Servidor ^Apache Broken_vary_encoding permitir apache cache_ective_user squid cache_ective_group squid visible_hostname vm-freepro.local icp_port 0 error_directory /usr/local/etc/squid/errors/English coredump_dir /usr/local/squid/cache Eliminé deliberadamente los comentarios del archivo de configuración, porque no hay muchos, pero sí muchos. No olvide editar /etc/rc.conf agregando la línea: squid_enable="YES" A continuación, reconstruya el caché e inicie squid: # squid -z # /usr/local/etc/rc.d/squid inicio Lo primero que hacemos después de instalar squid es evitar que los usuarios locales accedan a Internet en el puerto 80. Transferimos el puerto 80 al 3128, es decir. obligamos a todos los usuarios a pasar solo por squid. Hay un gran pequeño inconveniente aquí. Dicha operación solo se puede realizar implementando el soporte de IPFW en el kernel; de lo contrario, el reenvío no funciona. ¡Sí, esto significa que ahora tenemos que construir nuestro núcleo! No es fácil, pero es útil: después de ensamblar su kernel, la velocidad de su trabajo debería aumentar y el volumen debería disminuir notablemente. Primero, usando sysinstall, instalamos las fuentes del kernel: # sysinstall Vaya a /Configurar/Distribuciones Verifique dentro de la sección src src [X] base [X] sys Ahora tenemos las fuentes del kernel en la carpeta /usr/src. A continuación, copie la configuración GENÉRICA en "nuestro" MYKERNEL y edite MYKERNEL: # cd /usr/src/sys/i386/conf # cp MYKERNEL GENÉRICO # mcedit MYKERNEL Al editar la configuración, asegúrese de especificar las siguientes opciones: # Habilitar el firewall en las opciones del kernel IPFIREWALL # Habilitar las opciones del mecanismo de registro de "registro" IPFIREWALL_VERBOSE # Limitar registros - opciones de protección contra desbordamiento IPFIREWALL_VERBOSE_LIMIT=50 # Habilitar las opciones del mecanismo de reenvío de paquetes IPFIREWALL_FORWARD # Habilitar las opciones del mecanismo de traducción de direcciones NAT IPDIVERT # Habilitar el canal opciones de mecanismo de limitación de velocidad DUMMYNET Y también elimine todo el "hierro" innecesario, que en realidad no tiene. Ahora construyamos el núcleo. Esta operación puede demorar un poco más y puede fallar con un error, lo que requiere que instale fuentes adicionales desde sysinstall, según lo que haya escrito en la configuración. Esperamos que no haya nada superfluo. # cd /usr/src # hacer buildkernel KERNCONF=MYKERNEL # hacer installkernel KERNCONF=MYKERNEL Ahora necesita reiniciar, pero antes de reiniciar, asegúrese de leer el manual en caso de que falle el reinicio. Ojalá esto no sucediera, por supuesto. Entonces, reiniciamos y editamos /etc/firewall.conf nuevamente. #!/bin/sh # Configuración IPFW para servidor NAT y proxy SQUID cmd="/sbin/ipfw -q" IfOut="em0" IpOut="192.168.1.10" NetOut="192.168.1.0/24" IfIn= "em1 " IpIn="172.16.0.1" NetIn="172.16.0.0/16" ############################### ## ################ # Borrar ########################### ## ################### $(cmd) -f flush $(cmd) tabla 0 flush $(cmd) mesa 1 flush ######## ## ##################################### # Lista blanca / Lista negra #### ## ######################################## $(cmd) tabla 0 agregar 172.16.0.2 $(cmd) tabla 1 agregar 172.16.0.13 ################################ #### ############ # Bucle invertido ############################# ##### ############# $(cmd) agregar permitir ip de cualquier a cualquier vía lo0 ################## ##### ######################### # Bloquear mundo a privado ############### #### ############################### $(cmd) agregar denegar ip desde cualquiera a 127.0.0.0/ 8 $(cmd ) agregue la IP denegada de 127.0.0.0/8 a cualquier #$(cmd) agregue la IP denegada de 172.16.0.0/16 a cualquier vía $(IfOut) #$(cmd) agregue la IP denegada de 19 2.168.1.0/24 a cualquiera a través de $(IfOut) $(cmd) agregar denegar IP de cualquiera a 10.0.0.0/8 a través de $(IfOut) #$(cmd) agregar denegar IP de cualquiera a 172.16.0.0/12 a través de $ (IfOut) #$(cmd) agregue la IP denegada de cualquiera a 192.168.0.0/16 a través de $(IfOut) $(cmd) agregue la IP denegada de cualquiera a 0.0.0.0/8 a través de $(IfOut) $(cmd) agregue la denegación ip de cualquiera a 169.254.0.0/16 a través de $(IfOut) $(cmd) agregar denegar ip de cualquiera a 192.0.2.0/24 a través de $(IfOut) $(cmd) agregar denegar ip de cualquiera a 224.0.0.0/4 a través $(IfOut) $(cmd) agregar IP denegada desde cualquiera a 240.0.0.0/4 a través de $(IfOut) ######################### # ###################### # ICMP ####################### # ######################## $(cmd) agregue deny icmp from any to any frag $(cmd) agregue deny log icmp from any to 255.255 . 255.255 de entrada a través de $(IfOut) $(cmd) agregue deny log icmp de cualquiera a 255.255.255.255 de salida a través de $(IfOut) ###################### # ########################## # NAT ##################### ##############################$(cmd) agregar desvío 8668 ip desde $(NetIn) a cualquier via $(IfOut ) $(cmd) agregar desviar 8668 ip de cualquiera a $(IpOut) vía $( IfOut) #$(cmd) agregar desvío 8668 ip de cualquiera a cualquier vía $(IfOut) ############################# ################### # Bloquear privado al mundo ######################## # ######################## $(cmd) agregar deny ip desde 10.0.0.0/8 a cualquier vía $(IfOut) #$(cmd ) agregue la IP denegada de 172.16.0.0/12 a cualquier vía $(IfOut) #$(cmd) agregue la IP denegada de 192.168.0.0/16 a cualquier vía $(IfOut) $(cmd) agregue la IP denegada de 0.0.0.0/ 8 a cualquier via $(IfOut) $(cmd) agregue ip denegada desde 169.254.0.0/16 a cualquier via $(IfOut) $(cmd) agregue ip denegada desde 192. 0.2.0/24 a cualquier vía $(IfOut) $(cmd) agregar denegar ip de 224.0.0.0/4 a cualquier vía $(IfOut) $(cmd) agregar denegar ip de 240.0.0.0/4 a cualquier vía $( Si fuera) ############################################# ## # Lista blanca ########################################## #### $(cmd) agregar permitir todo desde "tabla(0)" a cualquier $(cmd) agregar permitir todo desde cualquier a "tabla(0)" ############## ################################## # Lista negra ############ # ##################################### $(cmd) agregar negar todo desde "table (1 )" a cualquier ######################################### ## #### # Mantener establecido ###################################### ## ####### $(cmd) agregar permitir tcp de cualquiera a mí establecido ############################ # ################## # Principal ########################### # #################### $(cmd) agregar permitir ip de cualquiera a cualquier fragmento $(cmd) agregar permitir icmp de cualquiera a $(IpOut) icmptypes 0 , 8,11 # dns $(cmd) agregar permitir tcp de cualquier a $(IpOut) dst-port 53 setup $(cmd) agregar permitir udp de cualquiera a $(IpOut) dst-port 53 $ (cmd) agregar permitir udp desde $(IpOut) 53 a cualquier $(cmd) agregar permitir udp desde $(IpOut) a cualquier dst-port 53 keep-state # dns-client $(cmd) agregar permitir tcp desde cualquier a $ (NetIn) dst-port 53 configuración $(cmd) agregar permitir udp desde cualquier a $(NetIn) dst-port 53 $(cmd) agregar permitir udp desde $(NetIn) 53 a cualquier $(cmd) agregar permitir udp desde $ (NetIn) a cualquier puerto dst 53 keep-state # time $(cmd) agregue allow udp desde $(IpOut) a cualquier dst-port 123 keep-state # time-client $(cmd) agregue allow udp desde $(NetIn ) a cualquier puerto dst 123 keep-state # ssh-in $(cmd) agregar permitir tcp desde cualquier a $(IpOut) 22 $(cmd) agregar permitir tcp desde $(IpOut) 22 a cualquier # ssh-out $( cmd) agregar permitir tcp desde $(IpOut) a cualquier 22 $(cmd) agregar permitir tcp desde cualquier 22 a $(IpOut) # http $(cmd) agregar permitir tcp desde $(IpOut) a cualquier puerto dst 80 # http -cliente #$(cmd) agregar permitir tcp desde $(NetIn) a cualquier puerto dst 80 #$(cmd) agregar permitir tcp desde cualquier 80 a $(NetIn) # squid $(cmd) agregar permitir todo desde $(NetIn) ) a $(IpIn) 3128 a través de $(IfIn) $(cmd) agregue fwd $(IpIn),3128 tcp de $(NetIn) a cualquier 80 # smtp $(cmd) agregar permitir tcp de cualquiera a $(IpOut) dst-port 25 setup # out $(cmd) agregar deny log tcp de cualquiera a cualquiera a través de $(IfOut) setup #$(cmd) agregar allow tcp de cualquiera a cualquier configuración ########################################## # ##### # Red local ###################################### # ######## $(cmd) agregar permitir todo de cualquiera a cualquier vía $(IfIn) ######################## # ####################### # Denegar todo ##################### ## ########################### $(cmd) agregar negar todo de cualquier a cualquier Reiniciamos los servicios y verificamos: todo funciona y los clientes pasan por el sistema de control sin darse cuenta. Pospongamos la configuración del control de acceso por ahora y resolvamos otro problema importante: obtener DNS. == Configuración de DNS == Ahora nuestros clientes tienen una dirección DNS 192.168.1.1 - externa a la red interna 172.16.0.0/16. Podemos decir que los clientes se suben por encima del servidor miles de veces al día en busca de direcciones. Mejoremos el sistema: configure un servidor DNS de almacenamiento en caché que nos permita evitar conexiones de extremo a extremo con el exterior, ahorrarnos tráfico y acelerar nuestro trabajo. No olvide antes de prohibir el acceso en el puerto 53 al exterior para todos los clientes. En el archivo /etc/namedb/named.conf, edite los parámetros de escucha, reenviadores: opciones (directorio "/etc/namedb"; archivo pid "/var/run/named/pid"; archivo de volcado "/var/dump/named_dump.db"; archivo de estadísticas "/var/stats/named.stats "; escuchar ( 127.0.0.1; 172.16.0.1; ); desactivar-zona-vacía "255.255.255.255.IN-ADDR.ARPA"; desactivar-zona-vacía "0.0.0.0.0.0.0.0.0.0.0.0 .0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; desactivar-zona-vacía "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. 0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; reenviadores ( 192.168.1.1; ); // dirección de origen de consulta * puerto 53; ); En el archivo /etc/resolv.conf, cree primero el DNS local: servidor de nombres 127.0.0.1 servidor de nombres 192.168.1.1 En /etc/firewall.conf prohibimos a los clientes usar DNS externo (editar secciones con comentarios de dns-client) # dns-client # Deshabilitar DNS externo #$(cmd) agregar permitir tcp de cualquiera a $(NetIn) dst-port 53 setup #$(cmd) agregar permitir udp de cualquiera a $(NetIn) dst-port 53 #$( cmd) agregue allow udp desde $(NetIn) 53 a cualquier #$(cmd) agregue allow udp desde $(NetIn) a cualquier dst-port 53 keep-state # Solo permita DNS local $(cmd) agregue allow tcp desde $( NetIn) a $(IpIn) dst-port 53 setup $(cmd) add allow udp from $(NetIn) to $(IpIn) dst-port 53 Reiniciamos: # /etc/rc.d/reinicio con nombre # /etc/rc.d/ipfw reinicio Ahora volvamos al tema del control de acceso a Internet. Hay dos soluciones a la vez. Primero, configure las políticas de ACL en Squid. En segundo lugar, instale y configure squidGuard, una aplicación especial para el control de acceso. Comencemos en orden. == Configuración de squid acl == acl son reglas en la configuración de squid que son bastante efectivas para restringir el flujo de información a través del servidor proxy. En resumen, con acl en muy poco tiempo puede matar cualquier izquierda que interfiere con el trabajo. Todas las configuraciones predeterminadas de ACL están escritas en el archivo squid.conf, pero también se pueden mover a archivos externos. Por ejemplo, daré una parte de la configuración: # Denegar todos los volcados de archivos ACL comparte dstdomain .rapidshare.com .webfile.ru http_access deny share # Denegar a todos los sitios que solicitan por IP acl ip_urls url_regex http://+\.+\.+\.+[:/] http_access deny ip_urls # Restricciones de grupo src group_strict (ip 172.16.0.20-172.16.0.25) src group_allow (ip 172.16.0.26-172.16.0.30) acl (group_allow (pasar cualquiera) group_strict (pasar local ninguno)) Resulta genial. Pero es obvio que en un buen proxy debe haber muchas reglas de este tipo: una regla para cada "agujero". Averiguar "agujeros" y registrarlos uno por uno es tedioso, pero, como siempre, hay una solución preparada: squidGuard, una aplicación de filtro con un gran conjunto de reglas que, en principio, se puede reponer incluso de acuerdo con un horario cron. Estamos estudiando el tema. == Configurando squidGuard == Ahora intentemos instalar y configurar squidGuard. Esto no es difícil de hacer, pero hay que tener cuidado. Asi que: # pkg_add -r squidGuard # cp /usr/local/etc/squid/squidGuard.conf.sample /usr/local/etc/squid/squidGuard.conf El archivo squidGuard.conf almacena todas las configuraciones, algunas de las cuales deberán corregirse de inmediato, a saber: # Archivo squidGuard.conf ... fuente sample-clients ( ip 172.16.0.0/16 ) ... Vinculemos squidGuard a squid: agreguemos 3 líneas al archivo squid.conf: redirector_bypass en programa_redireccionamiento /usr/local/bin/squidGuard -c /usr/local/etc/squid/squidGuard.conf redirect_children 10 squidGuard mantiene su base de datos de configuración en /var/db/squidGuard. Antes del primer lanzamiento o después de realizar cambios, debe reconstruirse: # repetir # squidGuard -C all # chown -R squid:squid /var/db/squidGuard # /usr/local/etc/rc.d/squid restart Todo está bien, pero cuando un cliente intenta acceder a un sitio prohibido, por ejemplo, http://3warez.com/, observamos frenos. Y me gustaría recibir algún mensaje inteligible. Para esto necesitamos apache. == Configuración de apache == Como ya se mencionó, necesitamos apache para mostrar información sobre las direcciones bloqueadas y los motivos del bloqueo. Hacemos como de costumbre: # pkg_add -r apache22 # echo "apache22_enable="YES"" >> /etc/rc.conf La configuración de Apache está en el archivo /usr/local/etc/apache22/httpd.conf. Antes de comenzar, debe verificar las directivas DocumentRoot, ServerName; omitiré los detalles, porque. hay muchos artículos en Internet sobre cómo configurar este servidor. Hecho en 1 seg. Lanzamos: # echo "Acceso denegado" > /usr/local/www/apache22/data/index.html # /usr/local/etc/rc.d/apache22 start Arreglemos un poco la configuración de squidGuard.conf: # Al final del archivo acl ( ..... predeterminado ( redirigir http://172.16.0.1/index.html ) )== Configurando dhcpd == Y aquí estamos casi terminados. La red está configurada y funciona muy bien. Todo está bajo control, todo está estrictamente limitado. Pero después del látigo, es hora de ofrecer a los clientes la zanahoria, en forma de distribución automática de direcciones DHCP. Un buen administrador, por supuesto, también está haciendo trampa aquí: distribuirá direcciones solo por MAC, pero solo traeremos pasas. # pkg_add -r isc-dhcp3-server # cp /usr/local/etc/dhcpd.conf.sample /usr/local/etc/dhcpd.conf Agregue las siguientes líneas al archivo /etc/rc.conf: dhcpd_enable="SÍ" dhcpd_flags="-q" dhcpd_ifaces="em1" También debe corregir la configuración más importante /usr/local/etc/dhcpd.conf: opción nombre-dominio "ejemplo.com"; opción servidores de nombres de dominio 172.16.0.1; opción máscara de subred 255.255.255.0; tiempo de arrendamiento predeterminado 3600; tiempo máximo de arrendamiento 86400; ddns-actualización-estilo ninguno; subred 172.16.0.0 máscara de red 255.255.0.0 (rango 192.16.0.11 172.16.0.15; opción enrutadores 172.16.0.1;) Encender electricidad: # /usr/local/etc/rc.d/isc-dhcpd inicio Aquí, quizás, y todo, lo más importante. Este artículo no pretende ser completo ni completo, pero describe brevemente los pasos que se deben seguir para que el servidor funcione. Además, solo sintonizar y sintonizar nuevamente. No olvide también que esta no es la única forma de configurar un servidor: siempre hay una alternativa en Unix y puede usar aplicaciones completamente diferentes.

Tienes tu propia red local
decidiste que es hora de que lo conectes a Internet a través de una línea dedicada. Pues que bueno, hoy te voy a tratar
ayuda un poco con esto 🙂 Empecemos instalando FreeBSD, como estamos
seguridad, debe cuidarlo con anticipación 🙂 Apague todo, responda en todas partes
firmemente no :), luego activaremos lo que necesitamos más tarde 🙂 Durante la instalación del sistema, se le preguntará
"¿Te gustaría ver la colección de puertos?", responde que sí. Ahora instalaremos un adicional
software. Subimos a la sección de seguridad y seleccionamos un programa llamado PortSentry allí, luego nos será útil 🙂 Después de la instalación, necesitamos compilar
kernel... Tomemos como base el kernel GENERIC terminado. Se encuentra en /sys/i386/conf. Escriba con cuidado un nuevo kernel para el sistema, elimine todo lo que no necesite (por ejemplo, elimine la compatibilidad con USB, COM, LPT, SCSI, RAID y otros dispositivos que no usará en el sistema, no necesita USB, no vas a conectar al router dispositivos con soporte USB, y haz lo mismo con todo lo demás, más aumentará la velocidad del sistema en su conjunto... Encontrarás más detalles en el archivo LINT ). A continuación, agregue las siguientes líneas al nuevo núcleo:

Opciones IPFIREWALL #Activar compatibilidad con cortafuegos
Opciones IPDIVERT #esta opción es necesaria para que NAT funcione
Opciones IPFIREWLL_VERBOSE #Permitir que el cortafuegos escriba registros
Opciones IPFIREWALL_VERBOSE_LIMIT=10 #Limitación de entradas de registro para eventos
Opciones TCP_DROP_SYNFIN #No despertar paquetes dejados
Opciones ICMP_BANDLIMIT #Esta es una opción para prevenir ataques DOS :)
Opciones ACCEPT_FILTER_DATA #Usualmente habilito esta opción :)
Opciones TCP_RESTRICT_RST #Esta opción también debe estar habilitada

config proxy, cd ../../compile/proxy, hacer depender, hacer, hacer instalar

Eso es todo, felicidades, acabas de compilar tu kernel, si algo no funcionó y compila
detenido: mire, tal vez hizo algo mal, sucede e intente reconstruir el núcleo nuevamente. Luego hacemos un reinicio del sistema. Y la máquina debería arrancar con el nuevo kernel. Sin embargo, si esto no es
sucedió, no se moleste: el sistema se puede cargar con el kernel anterior. Para esto, cuando
arranque, cuando dice si desea ingresar al modo de recuperación, presione Entrar, allí
dé el comando de descarga, luego cargue kernel.old y arranque. Todo, el sistema arrancará con el kernel antiguo.

De forma predeterminada, el sistema espera 9 segundos antes de iniciarse.
Vamos a la carpeta /boot y allí editamos el archivo loader.conf, necesitamos agregar allí la siguiente línea
boot_autodelay=0, esto se hace para que el sistema no espere 9 segundos por la respuesta del usuario, pero lo necesitamos para que si el sistema se conecta rápido al reiniciar 🙂 Entonces vamos a
/etc y comience a editar el archivo rc.conf. A continuación se muestra un ejemplo con comentarios, así que comprenda
no será difícil:

hostname="zlobix.evil.com" #El nombre de red de su máquina
firewall_enable="YES" #Habilitar cortafuegos
firewall_script="/usr/local/etc/firewall.conf" #ruta al archivo con políticas de firewall
firewall_type="close" #Tipo de cortafuegos, ¡este tipo bloquea todo!
firewall_logging="YES" #Ajuste nuestro registro de firewall
natd_program="/sbin/natd" #Aquí al demonio natd
natd_interface="ed0" #En qué interfaz colgará NAT, la interfaz debe mirar hacia el ISP (proveedor de servicios de Internet)
tcp_extension="NO" #Cortar extensiones TCP/IP peligrosas
tcp_keepalive="YES" #Establezca esta opción, su enrutador se activa menos
susceptible a los ataques de DOS.
tcp_drop_synfin="YES" #No aceptar paquetes dejados
tcp_restrcit_rst="YES" #No recuerdo que significa, pero recomiendo habilitarlo 🙂
icmp_drop_redirect="YES" #No funciona con ICMP
paquetes
icmp_log_redirect="YES" #Registro de paquetes ICMP
ifconfig_lo0="inet 127.0.0.1" #configurar la dirección de loopback,
déjalo como dice

ifconfig_ed0="inet 167.65.89.147 nemask 255.255.255.192" #en este ejemplo tenemos esto
la interfaz mira hacia el proveedor, donde ed0 es el nombre de la interfaz, inet
IP: dirección emitida por el proveedor, máscara de subred máscara de red.

ifconfig_ed1="inet 192.168.0.1 netmask 255.255.255.0" #configurando la interfaz interna, es decir, que mira hacia la red local

ifconfig_ed1_alias0="inet 192.168.1.1 netmask 255.255.255.0" # Puede colgar varios en una interfaz de red a la vez
Direcciones IP (aliasing de IP), en este ejemplo se supone que nuestra red está dividida lógicamente en dos subredes 192.168.0.0/24 y 192.168.1.0/24 donde /24
- código de máscara según el método CIDR, que corresponde a
máscara de subred 255.255.255.0

syslogd_enable="YES" #Habilitar el demonio que
será responsable de los registros
inetd_enable="NO" #¡Mantener este servicio deshabilitado!
named_enable="NO" #Apaga este también, no quieres usar tu enrutador como un servidor DNS 🙂
nfs_client_enable="NO" # A continuación, los tres parámetros son responsables de admitir el Sistema de archivos de red, mi consejo para usted es cortarlo también
nfs_server_enbale="NO"
nfs_reserved_port_only="NO"
fsck_y_enable="SÍ"
portmap_enbale="NO" #deshabilitar asignador de puertos
sshd_enbale="YES" #Habilite ssh para que podamos administrar nuestro enrutador de forma remota :)
sshd_programm="/usr/sbin/sshd/" #ruta al demonio ssh
sshd_flags="" #Sshd indicadores de inicio, si no lo sabe, déjelo como está
defaultrouter="167.65.89.1" #Router ascendente de nuestro proveedor
getaway_enbale="YES" #Habilitar la puerta de enlace en nuestra máquina
icmp_bmcastecho="NO" #Kill respuestas a mensajes de eco ICMP, esto nos ahorrará nervios 🙂
cron_enable="NO" #No sé, pero la mayoría de la gente habilita Cron, pero yo lo apago porque no lo necesito en el enrutador...
clear_tmp_enable="YES" #Borrar el directorio tmp cada vez que se inicia el sistema
lpd_enable="NO" #Tampoco imprimirás desde el enrutador, así que córtalo también
usbd_enable="NO" #Eliminar el demonio para admitir dispositivos USB
sendmail_enable="NO" #Cortar sendmail, el lugar con más fugas en FreeBSD, siempre encuentra algunos errores :))))
kern_securelevel_enable="SÍ" #Habilitar seguridad
kern_securelevel="0" #Establecer tipo de seguridad

Entonces, después de que descubrimos rc.conf, necesitamos configurar nuestro enrutador para que funcione con DNS, para esto, abra el archivo resolv.conf en la misma carpeta y escriba esto allí:

nameserver="167.65.88.18" # dirección del servidor DNS de nuestro proveedor
nameserver="167.65.88.17" #Dirección del servidor DNS de respaldo de nuestro proveedor

Como ya entendiste, después de las comillas nameserver="" indican
La dirección IP del servidor DNS. Mejor no agregues un servidor DNS en la red local, Dios guarde la caja fuerte 🙂 Llegó a ssh.
Necesitamos asegurarlo 🙂 y aumentar la protección,
así que vaya a la carpeta /etc/ssh y abra el archivo sshd_config. Y editamos lo siguiente:

#sshd_config
Puerto 666 #En este puerto, ssh se despierta por nosotros 🙂
Protocolo 2 #Uso de un método de transferencia de datos más seguro
PermitRootLogin no # Desactive la capacidad de iniciar sesión en el usuario raíz, crearemos un usuario especial para nuestras necesidades 🙂
PrintLastLog sí #Muestra la última fecha de inicio de sesión
PermitEmptyPasswords no #Prohibir el inicio de sesión de usuarios con contraseña vacía

Después de que lo averigüemos, cruzaremos el cortafuegos...