Configurar um roteador baseado em GNU / Linux

O acesso à Internet (ou outras redes, se preferir) em uma LAN é o ponto de saída para redes domésticas, corporativas, governamentais, etc. Seja em casa, no trabalho ou no laboratório, a correta administração dos recursos tem papel fundamental no bom desempenho das atividades. O acesso à Internet e os serviços baseados na web representam pontos críticos na gestão dos recursos computacionais.
Uma rede LAN possui um ponto de interconexão onde todas as comunicações são "roteadas" para outras redes e, portanto, através da Internet. Normalmente em conexões domésticas, o provedor de serviços de Internet (ISP) instala um dispositivo que atua como um modem e roteador para a rede, permitindo que todos os computadores da LAN acessem os serviços de Internet.
O que é um roteador?“É um dispositivo que fornece conectividade no nível da camada de rede do modelo ISO / OSI. Sua principal função é enviar ou rotear pacotes de dados de uma rede para outra, ou seja, interconectar sub-redes, entendendo por sub-rede um conjunto de máquinas IP que podem se comunicar sem a intervenção de um roteador (através de bridges), e portanto possuem rede diferente prefixos. "
Os roteadores então interconectam as redes; por exemplo, se Bob está na sub-rede 10.0.0.0/24 e Alice está na sub-rede 20.0.0.0/24, uma vez que pertencem a sub-redes diferentes, eles não podem se comunicar diretamente. Se um roteador for instalado com acesso a ambas as sub-redes (por exemplo, com 2 placas de rede, cada uma configurada em cada sub-rede) Bob poderia usar o roteador para enviar dados para Alice e vice-versa.

PROLONGAR

Cada host mantém uma tabela de roteamento, onde basicamente aponta para o endereço IP do roteador que pode encaminhá-lo para um endereço IP (rede ou host). No caso da mesma sub-rede, cada host "sabe" que pode se comunicar diretamente com outros sistemas na própria sub-rede (porque eles são "vizinhos" na mesma sub-rede e não precisam de roteadores para se comunicar).
Em uma LAN típica, os hosts configuram um endereço IP e uma máscara de sub-rede que determina o espaço de endereço que eles podem contatar sem a necessidade de roteadores. Se os hosts devem acessar a Internet, um gateway padrão é configurado adicionalmente, que indica o endereço IP do roteador que é usado para acesso à Internet.
A configuração dos servidores de nomes ou DNS também é importante, mas para este guia usaremos o DNS da Internet, por exemplo, 8.8.8.8 (DNS público do Google).
Para o caso do gateway padrão em uma LAN, o roteador não apenas fornece serviços de roteamento, mas também mascaramento. O mascaramento é necessário para que os pacotes sejam enviados para a internet com o endereço ip wan do roteador, ou seja, o ip que o roteador possui na sub-rede do provedor de internet, para que sistemas intermediários possam rotear o caminho do roteador. Endereço IP que enviou o pacote. Desta forma, cada sub-rede LAN pode ser configurada com qualquer endereço, independentemente de outros clientes o usarem, uma vez que o roteador modifica o endereço IP de origem com o seu próprio antes de enviar os pacotes. Quando um pacote "volta" da Internet, o roteador usa um registro de conexão e "sabe" a qual host o pacote deve ser entregue.
Em uma LAN típica, o Modem ADSL atua como um roteador e gateway padrão para a LAN. A questão é que o endereço IP público é atribuído ao dispositivo ADSL e fornece acesso por meio da rede LAN configurável (geralmente uma rede 192.168.1.0/24).
O mesmo dispositivo ADSL, normalmente atribui configurações de rede à LAN usando DHCP, por isso só é necessário configurar o computador para fazer a configuração automaticamente e então tudo funciona.
Dependendo do modelo do Modem e do tipo de acesso à Internet, é possível que o Modem apenas atue como tal, sendo necessário que o host a ele ligado inicie a ligação à Internet (por exemplo através de PPPoE). Em outros casos, é possível "rotear" o Modem para atuar como um Modem-Roteador, estabelecendo a própria conexão com a Internet. Alguns provedores fornecem acesso direto à rede pública, indicando ao cliente o endereço IP público fixo atribuído, o gateway padrão e o DNS. O fato de o endereço IP ser público determina basicamente que qualquer host do mundo conectado à internet (sem restrições) poderá nos contatar diretamente.
Normalmente, esse é o caso de redes corporativas e é por isso que este guia é apresentado em tal cenário.
Sistemas EnvolvidosLAN:
Prumo:
Endereço MAC: AA: BB: CC: 22: 33: 44
Endereço IP: 192.168.1.2/24 (atribuível via DHCP)
SO: Windows XP
Gateway de rede (DNS + DHCP):
Endereço MAC (LAN): AA: BB: CC: 44: 55: 66
Endereço IP da LAN: 192.168.1.1/24
Endereço IP WAN: 200.51.2.1/30
Caminho padrão usando 200.51.2.2/30
SO: GNU / Linux Ubuntu
INTERNET:
Roteador de Internet:
Endereço IP1: 200.51.2.2/30
Endereço IP2: 180.0.0.2/16
…
SO: GNU / Linux Ubuntu 14.04
Alice (servidor web):
Endereço IP: 180.0.0.1/16

PROLONGAR

No gráfico, os sistemas à direita da nuvem da internet são sistemas conectados à rede pública. Bob está em uma LAN, e o roteador atuando como o gateway padrão (ou o gateway padrão da LAN de Bob) é o sistema no qual nos concentraremos.
Este último deve fornecer serviços DHCP para a LAN de Bob e um serviço de gateway (roteador com máscara).
1) Na primeira instância, as interfaces de rede do roteador devem ser configuradas, de forma que ele tenha uma conexão na LAN (192.168.1.1/24) e na Internet (WAN, 200.51.2.1/30); Para fazer isso, edite o arquivo de configuração de rede:

 # vim / etc / network / interfaces 

2) Supondo que eth0 seja a interface LAN e eth1 seja a interface WAN, especifique as configurações da seguinte forma:

Observe que foi indicado no início que as interfaces de rede deveriam levantar automaticamente com a interface de loopback, por meio da diretiva "auto"
Então, para cada interface, LAN ou eth0 e WAN ou eth1, a configuração da rede foi especificada estaticamente.
Para este caso, presumimos que o ISP ou ISP de Bob atribuiu a ele o endereço IP público e as correções 200.51.2.1/30 e seu gateway é 200.51.2.2.
3) Configure o nome do Gateway editando os arquivos "/ etc / hostname" e "/ etc / hosts"
Substitua o nome que aparece no momento, tendo o cuidado de colocar o mesmo em ambos. Para este tutorial, selecionei "Gateway" como o nome.
Corre:

 # vim / etc / hostname 

Insira o novo nome:

Em seguida, execute no terminal:

 # vim / etc / hosts 

E especifique o nome do roteador conforme mostrado abaixo:

4) A funcionalidade de encaminhamento de pacotes deve ser ativada no Gateway que estamos configurando, para que atue como um roteador. Execute em um terminal de gateway:

 # vim /etc/sysctl.conf 

5) Em seguida, descomente a linha "net.ipv4.ip_forward = 1”E reinicie (por motivos de teste)

Para testar a configuração, execute no terminal:

 # cat / proc / sys / net / ipv4 / ip_forward 

Se a saída for "1", significa que a função de encaminhamento de pacote está ativada:

6) Depois que o sistema estiver configurado como um roteador, adicione a funcionalidade de mascaramento. Com iptables É possível indicar que o tráfego de saída da LAN para qualquer rede (internet) está mascarado por este Gateway.
Execute o seguinte comando:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/rules-fw.sh 

Isso gera o arquivo "/etc/reglas-fw.sh". Agora conceda permissões de execução:

 # chmod + x /etc/init.d/rules-fw.sh 

Em seguida, com update-rc.d indique para executar rules-fw.sh na inicialização:

 # update-rc.d rules-fw.sh start 90 2 3 4 5. 

Finalmente reinicie e teste se a regra foi aplicada. Para fazer isso, após reiniciar, execute:

 # iptables -t nat -L -n 

E a saída deve mostrar as regras aplicadas, em que a mascarada deve aparecer:

7) Para que o roteador atribua configurações de rede aos hosts na LAN, instale um servidor DHCP com o seguinte comando:

 # apt-get install isc-dhcp-server 

8 ) Configure o serviço DHCP para que ele use apenas a interface de rede LAN (não queremos distribuir IPs para a Internet!). Para fazer isso, edite o arquivo de configuração:

 # vim / etc / default / isc-dhcp-server 

Especifique a interface lan:

9) Edite o arquivo de configuração do servidor DHCP para determinar o pool de endereços IP, o gateway a ser atribuído, etc. Executar em uma terminação:

 # vim /etc/dhcp/dhcpd.conf 

Digite a configuração da sub-rede, o dns a atribuir e o gateway. Para o host de Bob, forçamos o endereço IP 192.168.1.2 a ser atribuído sempre:

 sub-rede 192.168.1.0 máscara de rede 255.255.255.0 {opção de roteadores 192.168.1.1; opção de servidores de nomes de domínio 8.8.8.8; opção nome de domínio "lan"; autoritário; } host Bob {hardware Ethernet AA: BB: CC: 22: 33: 44; endereço fixo 192.168.1.2; } 

Reinicie o serviço:

 # /etc/init.d/isc-dhcp-server restart 

Verifique no syslog do sistema se algum cliente solicita atribuição de IP:
PROLONGAR

Como visto no tutorial DHCP Spoofing Simple, a atribuição de IP via DHCP atribui a Bob o endereço que especificamos com seu endereço MAC.

10) Se tudo estiver configurado corretamente, Bob pode dar um ping em Alice:

12) Finalmente, Bob acessa o site de Alice:

É importante observar que embora este guia seja baseado em um cenário simples, os comandos e métodos de configuração não variam de cenário para cenário, pois os componentes e software envolvidos são os mesmos. Existem distribuições Linux especialmente preparadas para atuar como roteadores em uma LAN, como OpenWRT, DD-WRT e Pfsense (freeBSD). Essas distribuições fornecem uma interface de configuração amigável e não requerem comandos inseridos manualmente nos terminais. Esta é uma proposta simples de configurar nosso próprio Gateway baseado em GNU / Linux sem a ajuda de assistentes de configuração, ou seja, "feito inteiramente à mão".
Em tutoriais posteriores, a opção de configurar um DNS local, um firewall completo e o serviço Proxy serão adicionados a este guia, para gerenciar o acesso à Internet, então tome cuidado.Gostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo