RSS
 

CentOS 5 — Домашний брендмауэр шлюз с DHCP-сервером для совместного подключения.

Если вы пытаетесь создать домашнюю сеть, Вы, вероятно, захотите создать розрешающее подключение к DSL/кабельному модему и затем поставить все ваши компьютеры за фаерволом, чтобы держать их безопасности. Этот учебник покажет вам, как использовать одно внешнее соединение на шлюзовом компьютере (используя фаервол Iptables), и тут же второе внутренее подключение, так что вы можете к нему подключить компьютеры внутри вашего дома/офиса, и автоматически роздать им IP при их подключении (с помощью DHCP-сервера). 

CentOS 5 - Домашний брендмауэр шлюз с DHCP-сервером для совместного подключения.

Компьютеры внутри вашего офиса также будут в состоянии «общатся» друг с другом, так что вы можете подключить принтеры, компьютеры и кроме того обьединить через общий сетевой свич. Позднее Вы также можете установить на вашем шлюз-сервере, сетевое резервное копирование, для всех ваших компьютеров достаточно просто с помощью Samba. Это часть возможной росширенной установки, но мы сейчас будет поддерживатся простому пути.

Первое, что нужно cделать на шлюз-сервере, это настроить и включить Iptables, брандмауэр по умолчанию, который поставляется с CentOS. Мы сообщим ему разрешить исходящий трафик из интерфейса eth1 к Интернету. Вы должны добавить запись Iptables, сохранить его и перезагрузить Iptables.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
service iptables save
service iptables restart

Теперь мы должны сказать ядру, чтобы начал розрешать отправку, такое правило будет работать:

echo 1 > /proc/sys/net/ipv4/ip_forward

Это будет работать только до перезагрузки, тогда давайте сделаем его постоянным, используя редактор на ваш выбор, добавьте следующую строку в /etc/sysconfig/network:

FORWARD_IPV4=YES

Теперь мы должны настроить DHCP сервер, чтобы выдать IP для компьютеров в локальной сети.

yum install dhcp

По умолчанию, будет образцом DHCP файла, созданного, который мы исправим, а затем заменим реальным:

cd /usr/share/doc/dhcp-whateverversionyouhave/
vi dhcpd.conf.sample

Вы можете вырезать/вставить, то что я использую или просто отредактировать в соответствии с вашими потребностями. Внимание, ваша сеть может отличатся от моей. Этот файл будет выдавать внутренним компьютерам IP c диапазоном от 192.168.0.128 до 192.168.0.254 с маской подсети 255.255.255.0, изменените в соответствии с вашими потребностями. Также настройте IP для eth1 статический позже, если вы используете здесь свои личные данные.

ddns-update-style none; # keep it simple for now
ignore client-updates;  # here too
DHCPARGS=eth1;          # tells it what interface to listen on
subnet 192.168.0.0 netmask 255.255.255.0 {
# — default gateway
option routers                  192.168.0.1;   # gateway on your eth1 internal interface
option subnet-mask              255.255.255.0; # subnet mask
option domain-name              «example.com» # domain name given to client
option domain-name-servers      209.242.10.10; # the IP of your ISP’s nameservers you’re using
option time-offset              -18000;        # Eastern Standard Time — set to what you have
range 192.168.0.128 192.168.0.254;             # the range of IP’s your clients will get
default-lease-time 21600;                      # how long the client’s will keep the same IP
max-lease-time 43200;
# we want the nameserver to appear at a fixed address
host ns {
next-server ns1.ispserver.net;         # change to your ISP’s nameservers
hardware ethernet 00:09:5B:8E:05:67;   # hardware MAC
fixed-address 209.242.10.10;           # your ISP’s nameserver IP

Теперь создайте резервную копию текущей конфигурации DHCP-файла и скопируйте тот, который вы только что сделали перед ним:

mv /etc/dhcpd.conf /etc/dhcpd.conf.old
cp dhcpd.conf.sample /etc/dhcpd.conf

Теперь перезагрузите сервер DHCP (после проверки конфигурации на ошибки, если есть ошибки, вы найдете их, перечисленные в /var/log/messages), чтобы изменения вступили в силу

service dhcpd configtest
service dhcpd restart

Теперь мы должны настроить eth1 (внутренний) интерфейс чтобы соответсвовал тому что сделали на сервере DHCP, поэтому отредактируем файл /etc/sysconfig/network-scripts/ifcfg-eth1 это выглядит примерно так:

DEVICE=eth1
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.0.1
NETMASK=255.255.255.0
GATEWAY=10.1.10.43

Вам придется править, по крайней мере GATEWAY IP, это только IP моего интерфейса eth0, его изменение не зависит от вашего eth0 IP, которое узнаете, запустив:

ifconfig

Он должен сообщить что-то вроде: eth0 inet addr:10.1.10.43, это тот, который вы хотите.
Далее вы должны сообщить ваш компьютеру для прослушивания контрольный запрос DHCP, чтобы встретить внутри сети. Когда клиентский компьютер отправляется на поиски DHCP адреса, он посылает запрос кому угодно, кто ответит, имеющий IP адрес 255.255.255.255, так что вы должны сообщить ваш сервер DHCP, IP для прослушивания:

route add -host 255.255.255.255 dev eth1

Итак, теперь мы проверяем настройки. Вы нужно подойти к одному из клиентских компьютеров, подключите его к свичу, к которому подключен и шлюз и он должен получить IP, используя ваш новый сервер DHCP, и вы сможете зайти в интернет. Вы также следует настроить брандмауэр более серьёзней, чем мы сделали в этом уроке, чтобы сохранить внутренние компьютеры в безопасности, используя встроенные средства настроек, запустив:

setup

Оставить комментарий

 

 
  1. Вадим

    06.01.2010 at 2:49 дп

    Помогло!
    Спасибо. Отличный пост.

     
  2. Liopolis

    06.06.2010 at 10:08 дп

    Я против «Интересно почитать» — против, когда интересно почитать публикают каждую неделю, против когда там одно унылое говно…но и польза есть с другой стороны, но надо действительно только интересные ссылки туда добавлять…

     
  3. Limuriks

    07.06.2010 at 2:08 дп

    Выжимать из себя обзоры и полезные посты думаю не стоит, когда просто хочется написать людям о том, как прошёл в черашнйи вечер и здесь кто-т оможет найти для себя полезным, как не проводить вечера 😉 или подробнее узнать о жизни блогера, если это не тематический сайт, да даже если тематический…

     
  4. ProstoHam

    08.06.2010 at 2:58 пп

    I have been surfing online more than three hours today, yet I never found any interesting article like yours. It’s pretty worth enough for me. In my opinion, if all webmasters and bloggers made good content as you did, the internet will be much more useful than ever before.

     
  5. EAGESKWREDA

    24.11.2010 at 3:48 дп

    По большому счёту я с вами согласен. Просто некоторым кажется, что им обязательно надо чем-то выделиться из общей массы. А чем выделяться, это уже не важно.

     
  6. lekasteel

    15.08.2013 at 2:53 пп

    Спасибо, много статей прочитал как настроить шлюз , с вашей только все заработало !