Минимум: не ниже 100-го первого пня с 16 метрами озу все что выше даже лучше, берем две, желательно писиайные сетивушки (типа сурекомы не подходят потому, что софтовые они ) лучше компексы или 3комы. Использовать исашные карточки тоже можно, но проблем очень много, тем более, что сейчас уже без проблем можно купить писиайные(PCI) до 10 баксов стоят. Вставляем две карточки в наше железо, затем ставим линух, лучше всего ставить Redhat не ниже 8ого или asp не ниже 7ого. Винт должен быть для (HDD) не ниже 4G. Ну, так на всякий случай зависит от дистрибутива линуха. Лучше выбрать минимальную установку и не забыть поставить нужные минимальные компоненты, короче когда ставим зловъебный линух нужно не забыть проги: mc lynx iptraf iptraf - нужная и полезная вещь можно смотреть активность всей внутренней локальной сети. Все остальное ПО пока не ставим, это все что нам нужно для реализации лучшего в мире роутера. Итак мы поставили мега линукс, дрова под наши сетивушки типа ne2000 совместимые, поставились два девайса допустим автоматически и по команде ifconfig теперь они у нас красивенькие eth0 и eth1. После отработки команды ifconfig если все ок, мі должні увидить примерно следующее: eth0 Link encap:Ethernet HWaddr 00:0D:88:45:7B:95 inet addr:0.0.0.0 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3947569 errors:0 dropped:0 overruns:0 frame:0 TX packets:3639182 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1026779675 (979.2 M TX bytes:386421778 (368.5 M Interrupt:9 Base address:0x9f00 eth1 Link encap:Ethernet HWaddr 00:0D:88:45:92:66 inet addr:0.0.0.0 Bcast:10.10.10.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:6705192 errors:0 dropped:0 overruns:0 frame:0 TX packets:7255036 errors:0 dropped:0 overruns:1 carrier:0 collisions:0 txqueuelen:100 RX bytes:655940367 (625.5 M TX bytes:1543577606 (1472.0 M Interrupt:10 Base address:0xbe00 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:10 errors:0 dropped:0 overruns:0 frame:0 TX packets:10 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:700 (700.0 TX bytes:700 (700.0 Прописать айпишники интерфейсам можно тут, єто надо делать под root. /etc/sysconfig/network-scripts/ifcfg-eth0 ifcfg-eth1 ifcfg-lo Теперь присваиваем айпи адреса етха0 у нас будет скажем 192.168.0.1 отсюда будет приходить инет, то есть внешняя сеть, а етха1 это будет скажем 11.11.11.11 это адресс внутренней локальной сети, в которую мы и далжны раздавать наш инет. Этот адресс в последствии будем указывать в качестве шлюза, чтобы все через него ходили в инет. Присвоили айпишники 192.168.0.1 и 11.11.11.11, не забываем прописать шлюз провайдера и днс провайдера, чтобы у нас на роутере появился инет, вот проверили? Так тогда дальше, пробуем пинговать мир с роутера камантой ping www.padonki.org, если все ок, то на Малевиче будет так: PING www.padonki.org (217.16.28.199) from 192.168.0.1 : 56(84) bytes of data. 64 bytes from udaff.com (217.16.28.199): icmp_seq=1 ttl=49 time=810 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=2 ttl=49 time=403 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=3 ttl=49 time=601 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=4 ttl=49 time=696 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=5 ttl=49 time=1351 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=6 ttl=49 time=620 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=7 ttl=49 time=661 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=8 ttl=49 time=1258 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=9 ttl=49 time=1220 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=10 ttl=49 time=1470 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=11 ttl=49 time=1120 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=12 ttl=49 time=1291 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=13 ttl=49 time=772 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=14 ttl=49 time=837 ms 64 bytes from udaff.com (217.16.28.199): icmp_seq=15 ttl=49 time=735 ms Пингуетьcя значит все ок! Так теперь нам надо заставить етн0 и етн1 обмениваться пакетами! Задача... Но нерешаемых задач под линухой нет соответственно думаем чайником, как это сделать, оказывается, вот что для начала нужно. тиак запускаем мс и по f4 редактируем /etc/sysctl.conf там пишем следующее, если ее нет net.ipv4.ip_forward = 1 net.ipv4.ip_always_defrag = 1 Все теперь у нас работает форвардинг (ну это конечно после перегрузки сети. Перегрузить ее можно след способом можно, опуская и поднимая интерфейс строкой ifconfig eth0 down/up вот ну и с другим етн1 ту же процедуру сотворить) А можна зайти в /etc/~init.d/*network и набрать ./network restart Так теперь нужно сказать чтобы все пакеты приходящие на интерфейс етх0 уходили куда нить на какой нить внутренний айпи или следующий интерфейсовский эзернет у нас он не забываем 11.11.11.11 для этого в /etc/rc.d/*rc.local и добавим там строку iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.1 iptables - Это чистой воды файервол!!! Он предназначен, чтобы отбрасывать все пакеты и запросы. Теперь можно смело присвоить айпи каждому компу локалки, указать маску, шлюз, днс провайдера. Пример: айпи: 11.11.11.25 маска: 255.255.255.0 шлюз: 11.11.11.11 днс провайдера: 195.5.29.2 Теперь пишем в этой же папке /etc/rc.d/ файлик который будет у нас очищать все правила айпитэблса для того чтобы применять новые по нажатию *rc.local и он должен выглядеть примерно так *rc.rezet а внутри у него должно быть написано: iptables -F iptables -t nat -F Саздать этат файлик можна варварским способом скопировав куда нить *rc.local и тупо его в новам месте переименовать на *rc.rezet и патом обратно скапиравать в папку /etc/rc.d/ чтобы там появилося два файлика один главный второй очищающий. Схема проста для применения настроек айпитэблса тоесть нашего файервола мы сначала запускаем файл *rc.rezet в котором у нас прописано iptables -F iptables -t nat -F типа очищаем правила в айпитэйблс а потом или применяем новые правила или стартуем инет *rc.local. Важно то что у нас будет прописано в *rc.local вот этим и займемся. Кстати рс локал это файлик конфиг который всегда стартует при старте линухи и даже если отключат свет и комп перезагрузиться инет все равно будет (если корпус атшный а не атхвый конечно) Так!!! теперь когда у нас все роутиться, займемся лицами порно глядущими. Короче часто, если все хитруны-сотрудники акромя порно более ничего не смотрят и лезут на все сайты (если трафик по-мегабайитный то вообще всех хитрунов надо отлучать от инета а тем более тех кто вирусов наловил всяких там лов санов шарящих доступы по вин рпц и порты соответствующие нужно лочить) так вот когда обратный трафик исходящий с какой-то из машин переходит все разумные пределы нужно закрыть парты на роутере, который мы с вами сделали. Hе ходить же к этому хитруну и не закрывать на каждой тачке порты а если тачек 50 или 100 копьютеров В локалке? Вот правильно а мы сидим на роутере и все контролируем! Итак, если хитрун нахватался вирусов с порносайтов тогда мы заходим под рутом(root) в /etc/rc.d/*rc.local Кстати есть такая прога насываится по научнаму telnet ssh terminal в народе проста PUTTY, ее можна найти и легко скачать с инета тогда можно работать на линухе не непосредственно с тачки а с любой машины в локалке или по телнету или по ссш. и пишем следующее: iptables -A FORWARD -i eth0 -o eth1 -s 0/0 -d 11.11.11.25 -j DROP iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -d 0/0 -j DROP Это строки запрещают пользователю выход в нет А, если так #iptables -A FORWARD -i eth0 -o eth1 -s 0/0 -d 11.11.11.25 -j DROP #iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -d 0/0 -j DROP то мы коментарим команды и пользователю снова открыт выход в инет Правим /etc/rc.d/*rc.local iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 135 -j DROP отключаем виндосский рпс iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 80 -j DROP отключаем http странички браузеры синие буквочки Е тоже плачут iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 110 -j DROP смтп аж плачет iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 25 -j DROP поп3 тоже ревет вместе с смтп iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 443 -j DROP ловсан до свиданья iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 119 -j DROP снова ловсан шара закрывается Это строки чтобы закрывать порты на линух роутере!!! Потом выходим из файлика с сохранением и запускаем, как обычно *rc.rezet потом запускаем *rc.local А вот строчки спициально для хитрунов которые будут спамить ваш роутер iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT флудеры плачут iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT вот а это строка для защиты от скрытого скана партов хитрунами iptables -A FORWARD -p icmp --icmp-type echo-reguest -m limit --limit 1/s -j ACCEPT а это от пинга шары
|