Где хорошо - там и дом...

Категории каталога

xDSL [3]
Все материалы по xDSL
IT-Технологии [6]
Статьи по данной теме
Вирусняки [2]
Про вирусы
CISCO [2]
Здесь все о продукции этой известной компании
Unix, Linux [36]
Software [4]
Описания к прогам, всячинская инфа
Телефония [2]
Телефония и все к нрей относящееся
Games [1]
Windows [1]
Реклама, интересній софт [0]
Здесь можно прорекламировать любой софт

Наш опрос

Какому из производителей антивирусных продуктов Вы отдаете предпочтение?
Всего ответов: 477


Гидрометцентр России

Погода по львівськи

Штормовые предупреждения

onet.pl

meteo.pl

pogodynka.pl


HSDN - Информационная полоска
Locations of visitors to this page

Каталог статей

Главная » Статьи » Компьютеры, сети, оборудование, ОС, проги » Unix, Linux

REDHAT: Создание роутера
Минимум: не ниже 100-го первого пня с 16 метрами озу все что выше даже лучше, берем две, желательно писиайные сетивушки (типа сурекомы не подходят потому, что софтовые они ) лучше компексы или 3комы. Использовать исашные карточки тоже можно, но проблем очень много, тем более, что сейчас уже без проблем можно купить писиайные(PCI) до 10
баксов стоят.

Вставляем две карточки в наше железо, затем ставим линух, лучше всего ставить Redhat не ниже 8ого или asp не ниже 7ого. Винт должен быть для (HDD) не ниже 4G. Ну, так на всякий случай зависит от дистрибутива линуха. Лучше выбрать минимальную установку и не забыть поставить нужные
минимальные компоненты, короче когда ставим зловъебный линух нужно не забыть
проги:

mc
lynx
iptraf

iptraf - нужная и полезная вещь можно смотреть активность всей внутренней локальной сети.

Все остальное ПО пока не ставим, это все что нам нужно для реализации лучшего в мире роутера. Итак мы поставили мега линукс, дрова под наши сетивушки типа ne2000 совместимые, поставились два девайса допустим автоматически и по команде ifconfig теперь они у нас красивенькие eth0 и eth1. После отработки команды ifconfig если все ок, мі должні увидить примерно следующее:

eth0 Link encap:Ethernet HWaddr 00:0D:88:45:7B:95
inet addr:0.0.0.0 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3947569 errors:0 dropped:0 overruns:0 frame:0
TX packets:3639182 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1026779675 (979.2 M TX bytes:386421778 (368.5 M
Interrupt:9 Base address:0x9f00

eth1 Link encap:Ethernet HWaddr 00:0D:88:45:92:66
inet addr:0.0.0.0 Bcast:10.10.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6705192 errors:0 dropped:0 overruns:0 frame:0
TX packets:7255036 errors:0 dropped:0 overruns:1 carrier:0
collisions:0 txqueuelen:100
RX bytes:655940367 (625.5 M TX bytes:1543577606 (1472.0 M
Interrupt:10 Base address:0xbe00

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:700 (700.0 TX bytes:700 (700.0

Прописать айпишники интерфейсам можно тут, єто надо делать под root.

/etc/sysconfig/network-scripts/ifcfg-eth0 ifcfg-eth1 ifcfg-lo

Теперь присваиваем айпи адреса етха0 у нас будет скажем 192.168.0.1 отсюда будет приходить инет, то есть внешняя
сеть, а етха1 это будет скажем 11.11.11.11 это адресс внутренней локальной сети, в которую мы и далжны раздавать наш инет. Этот адресс в
последствии будем указывать в качестве шлюза, чтобы все через него ходили в инет. Присвоили айпишники 192.168.0.1 и 11.11.11.11, не забываем прописать шлюз провайдера и днс провайдера, чтобы у нас на роутере появился инет, вот проверили? Так тогда дальше, пробуем
пинговать мир с роутера камантой ping www.padonki.org, если все ок, то на
Малевиче будет так:

PING www.padonki.org (217.16.28.199) from 192.168.0.1 : 56(84) bytes of data.
64 bytes from udaff.com (217.16.28.199): icmp_seq=1 ttl=49 time=810 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=2 ttl=49 time=403 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=3 ttl=49 time=601 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=4 ttl=49 time=696 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=5 ttl=49 time=1351 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=6 ttl=49 time=620 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=7 ttl=49 time=661 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=8 ttl=49 time=1258 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=9 ttl=49 time=1220 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=10 ttl=49 time=1470 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=11 ttl=49 time=1120 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=12 ttl=49 time=1291 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=13 ttl=49 time=772 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=14 ttl=49 time=837 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=15 ttl=49 time=735 ms

Пингуетьcя значит все ок! Так теперь нам надо заставить етн0 и етн1 обмениваться пакетами! Задача... Но нерешаемых задач под линухой нет
соответственно думаем чайником, как это сделать, оказывается, вот что для начала
нужно.

тиак запускаем мс и по f4 редактируем

/etc/sysctl.conf

там пишем следующее, если ее нет

net.ipv4.ip_forward = 1
net.ipv4.ip_always_defrag = 1

Все теперь у нас работает форвардинг (ну это конечно после перегрузки сети. Перегрузить ее можно след способом можно, опуская и поднимая интерфейс строкой

ifconfig eth0 down/up вот ну и с другим етн1 ту же процедуру сотворить)

А можна зайти в /etc/~init.d/*network и набрать ./network restart

Так теперь нужно сказать чтобы все пакеты приходящие на интерфейс етх0 уходили куда нить на какой нить внутренний
айпи или следующий интерфейсовский эзернет у нас он не забываем 11.11.11.11

для этого в

/etc/rc.d/*rc.local
и добавим там строку

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.1

iptables - Это чистой воды файервол!!! Он предназначен, чтобы
отбрасывать все пакеты и запросы.

Теперь можно смело присвоить айпи каждому компу локалки, указать маску, шлюз, днс провайдера.
Пример: айпи: 11.11.11.25
маска: 255.255.255.0
шлюз: 11.11.11.11
днс провайдера: 195.5.29.2

Теперь пишем в этой же папке /etc/rc.d/ файлик который будет у нас очищать все правила айпитэблса для того чтобы применять новые по
нажатию *rc.local и он должен выглядеть примерно так *rc.rezet а внутри у него
должно быть написано:

iptables -F
iptables -t nat -F

Саздать этат файлик можна варварским способом скопировав куда нить *rc.local и тупо его в новам месте переименовать на *rc.rezet и патом обратно скапиравать в папку /etc/rc.d/ чтобы там появилося два файлика один главный второй очищающий. Схема проста для применения настроек айпитэблса тоесть нашего файервола мы сначала запускаем файл *rc.rezet в котором у нас прописано

iptables -F
iptables -t nat -F

типа очищаем правила в айпитэйблс а потом или применяем новые правила или стартуем инет *rc.local. Важно то что у нас будет прописано в
*rc.local вот этим и займемся. Кстати рс локал это файлик конфиг который всегда стартует при старте линухи и даже если отключат свет и комп перезагрузиться инет все равно будет (если корпус атшный а не атхвый конечно)

Так!!! теперь когда у нас все роутиться, займемся лицами порно глядущими.

Короче часто, если все хитруны-сотрудники акромя порно более ничего не смотрят и лезут на все сайты (если трафик по-мегабайитный то вообще
всех хитрунов надо отлучать от инета а тем более тех кто вирусов наловил всяких там лов санов шарящих доступы по вин рпц и порты соответствующие нужно лочить) так вот когда обратный трафик исходящий с какой-то из машин переходит все разумные пределы нужно закрыть парты на роутере, который мы с вами сделали. Hе ходить же к этому хитруну и не закрывать на каждой тачке порты а если тачек 50 или 100 копьютеров В локалке? Вот правильно а мы сидим на роутере и все контролируем! Итак, если хитрун нахватался вирусов с порносайтов тогда мы заходим под рутом(root) в

/etc/rc.d/*rc.local

Кстати есть такая прога насываится по научнаму telnet ssh terminal в народе проста PUTTY, ее можна найти и легко скачать с инета тогда можно работать на линухе не непосредственно с тачки а с любой машины в локалке или по телнету или по ссш.

и пишем следующее:

iptables -A FORWARD -i eth0 -o eth1 -s 0/0 -d 11.11.11.25 -j DROP
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -d 0/0 -j DROP

Это строки запрещают пользователю выход в нет

А, если так

#iptables -A FORWARD -i eth0 -o eth1 -s 0/0 -d 11.11.11.25 -j DROP
#iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -d 0/0 -j DROP

то мы коментарим команды и пользователю снова открыт выход в инет

Правим /etc/rc.d/*rc.local

iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 135 -j DROP
отключаем виндосский рпс
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 80 -j DROP
отключаем http странички браузеры синие буквочки Е тоже плачут
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 110 -j DROP
смтп аж плачет
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 25 -j DROP
поп3 тоже ревет вместе с смтп
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 443 -j DROP
ловсан до свиданья
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 119 -j DROP
снова ловсан шара закрывается

Это строки чтобы закрывать порты на линух роутере!!!

Потом выходим из файлика с сохранением и запускаем, как обычно *rc.rezet потом
запускаем *rc.local

А вот строчки спициально для хитрунов которые будут спамить ваш роутер

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT флудеры плачут

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s
-j ACCEPT
вот а это строка для защиты от скрытого скана партов хитрунами

iptables -A FORWARD -p icmp --icmp-type echo-reguest -m limit --limit 1/s -j
ACCEPT
а это от пинга шары

Категория: Unix, Linux | Добавил: astrolon (21.08.2010)
Просмотров: 1054 | Рейтинг: 5.0/2 |
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Форма входа

Поиск

Друзья сайта


$$$ Зарабатывайте на своем сайте


Экономим вместе. Делимся опытом

Ресурс векторних зображень


Скутер-центр

База знаний от Димона

Зелеминский Форум Медведя

Bozhyk

Стеклим балконы

Борьба с мошенничеством



скорость интернет соединения

Разные релизы Ubuntu

PRCY.ru

Статистика


Онлайн всего: 1
Гостей: 1
Пользователей: 0